中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

DVWA系列之15 文件包含漏洞利用

發布時間:2020-04-08 16:04:10 來源:網絡 閱讀:3903 作者:yttitan 欄目:安全技術

明白了文件包含的原理之后,下面我們進入DVWA,選擇low級別的文件包含。在頁面中有提示,可以編輯URL中的page參數從而包含指定的文件,默認情況下包含的是include.php文件。

DVWA系列之15 文件包含漏洞利用 
我們在D:\AppServ\www\dvwa\vulnerabilities\fi目錄中創建一個測試文件test.txt,文件內容是“File Inclusion test!!”,通過文件包含漏洞可以直接查看到該文件內容。
 DVWA系列之15 文件包含漏洞利用如果想查看D:\AppServ\www\03.txt文件的內容,可以這樣輸入“?page=../../../03.txt”,“../”代表父目錄,因而只要獲知某個文件的路徑,就可以通過文件包含漏洞來查看該文件的內容。
 DVWA系列之15 文件包含漏洞利用

讀取敏感文件是文件包含漏洞的主要利用方式之一,比如服務器采用Linux系統,而用戶又具有相應的權限,那么就可以利用文件包含漏洞去讀取/etc/passwd文件的內容。
系統中常見的敏感信息路徑如下:
(1)Windows系統
 DVWA系列之15 文件包含漏洞利用

(2)Linux系統

DVWA系列之15 文件包含漏洞利用 
文件包含漏洞的另一個主要利用方式是配合文件上傳。比如大多數網站都會提供文件上傳功能,但一般只允許上傳jpg或gif等圖片文件,通過配合文件包含漏洞就可以在網站中生成一句話***網頁文件。
比如,在記事本中寫入下面這段代碼,并將之保存成jpg文件。
DVWA系列之15 文件包含漏洞利用 
將文件上傳到DVWA目錄中,文件路徑為D:\AppServ\www\dvwa\1.jpg,那么通過文件包含漏洞就可以執行jpg文件中的代碼,從而在D:\AppServ\www\dvwa\vulnerabilities\fi目錄中生成shell.php文件,而文件內容正是一句話***。
 DVWA系列之15 文件包含漏洞利用

另外,文件包含漏洞還可被用于繞過WAF防火墻。比如將WebShell上傳到網站后,可能會被安全狗等安全工具查殺,這時可將WebShell保存成圖片文件,然后通過文件包含功能去執行它。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

萍乡市| 沂源县| 包头市| 定南县| 县级市| 南溪县| 桐柏县| 五大连池市| 澄城县| 彭泽县| 岑巩县| 苍梧县| 涞水县| 布尔津县| 封丘县| 邯郸县| 定边县| 江源县| 天全县| 潞城市| 昆山市| 英山县| 安岳县| 仁怀市| 雷波县| 民勤县| 平塘县| 渝北区| 新乡县| 通许县| 土默特左旗| 赣州市| 肃北| 祁连县| 万源市| 湘阴县| 嵊泗县| 石景山区| 云安县| 乐东| 弋阳县|