Web初探索(五)
Web学习——任务五
- 复述本周任务
- 学习file inclusion(文件包含),了解各种伪协议知识
- file inclusion概念
- 伪协议
- php://
- data:// (数据)
- file://
- 完成dvwa第四个模块file inclusion
- 前提设置
- low级别
- medium级别
- high级别
- impossible级别
- 学习php
- sublime text 3安装
- php小探索
- If...Else 语句
- Switch 语句
- 数组
- 数组排序
- 超级全局变量
- While 循环
- For 循环
复述本周任务
时间:2020.5.29——2020.6.06
内容:
- 学习file inclusion(文件包含),了解各种伪协议知识
- 完成dvwa第四个模块file inclusion
- 继续学习php
学习file inclusion(文件包含),了解各种伪协议知识
file inclusion概念
⭐ File Inclusion:指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。
⭐ 分类:
- 本地文件包含漏洞
- 远程文件包含漏洞(开启了allow_url_fopen选项)
一些函数和参数:
伪协议
附学习链接:PHP 伪协议深入理解
php://
——访问各个输入/输出流(I/O streams)
-
php:// input
——可以访问请求的原始数据的只读数据流 -
php:// output
——可以访问请求的原始数据的只写数据流 -
php:// filter
-
php:// memory 和 php:// temp
data:// (数据)
-
用法:
data://text/plain;base64, -
转换过滤器
-
convert.*
-
base64
-
string.*
file://
—— 访问本地文件系统
完成dvwa第四个模块file inclusion
在上一个小任务中,已经对file inclusion文件包含有了一定的了解,下面,将利用DVWA对其进行实践性学习。
同样,有
low、medium、high、impossible四种难易等级。
前提设置
有显示:The PHP function allow_url_include is not enabled.
因此&
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!