文件包含漏洞(一)

本文仅作为学习参考使用,本文作者对任何使用本文进行渗透攻击破坏不负任何责任。

一,漏洞简述。

文件包含漏洞,通常发生在Web应用程序中,特别是那些使用用户输入动态生成内容的部分。这种漏洞允许攻击者通过提交恶意的文件路径请求,使得服务器错误地读取并执行预定义之外的文件,包括但不限于脚本、配置文件甚至是系统命令。这可能导致未经授权的数据访问、修改或泄露,甚至可以被利用来进行远程代码执行。

二,漏洞复现。

在phpstudy下的www目录下,新建e.php文件,并写入:

<?php
include 'f.php';
?>

这段代码的意思是:当此php文件执行的时候,运行f.php文件。

在e.php写入:

<?php
	phpinfo();
?>

此代码的意思是:运行时,显示当前php版本以及其他信息。

运行后:

其效果与直接运行f.php效果一致;访问的是e.php,运行的是f.php的内容。

三,漏洞利用。

文件包含漏洞使用方法与文件上传漏洞的.htaccess类似,将php恶意代码写入txt之类的文件中,并先上传.htaccess文件,将文件解析为php文件运行,以实现漏洞利用。

相关推荐
brrdg_sefg1 小时前
WEB 漏洞 - 文件包含漏洞深度解析
前端·网络·安全
浏览器爱好者1 小时前
谷歌浏览器的网络安全检测工具介绍
chrome·安全
独行soc2 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍11基于XML的SQL注入(XML-Based SQL Injection)
数据库·安全·web安全·漏洞挖掘·sql注入·hw·xml注入
风间琉璃""3 小时前
bugkctf 渗透测试1超详细版
数据库·web安全·网络安全·渗透测试·内网·安全工具
儒道易行4 小时前
【DSVW】攻防实战全记录
web安全·网络安全
安全方案5 小时前
如何增强网络安全意识?(附培训PPT资料)
网络·安全·web安全
索然无味io6 小时前
跨站请求伪造之基本介绍
前端·笔记·学习·web安全·网络安全·php
H4_9Y6 小时前
顶顶通呼叫中心中间件mod_cti模块安全增强,预防盗打风险(mod_cti基于FreeSWITCH)
安全·中间件
Hacker_Oldv7 小时前
网络安全中常用浏览器插件、拓展
安全·web安全