当前位置: 首页 > news >正文

网站用小程序深圳宝安国际会展中心

网站用小程序,深圳宝安国际会展中心,效果好的网站建设公,wordpress添加返回顶部前言 菜某整理仅供学习#xff0c;有误请赐教。 概念 个人理解#xff1a;就是我们下载一个文件会传入一个参数#xff0c;但是我们可以修改参数#xff0c;让他下载其他的文件。因为是下载文件#xff0c;所以我们可以看到文件里面的源码#xff0c;内容。 文件读取…前言 菜某整理仅供学习有误请赐教。 概念 个人理解就是我们下载一个文件会传入一个参数但是我们可以修改参数让他下载其他的文件。因为是下载文件所以我们可以看到文件里面的源码内容。 文件读取跟文件下载的原理基本都是一样的操作方法一致。 危害 他虽然不能去获取服务器的权限但是可以作为信息收集的一种方式他可以去下载一些源码还有一些配置文件如果搭建过网站的应该知道我们的数据库账号密码是在配置文件中的那么下载了这个文件之后相当于泄露了数据库的账号密码。方便之后的日站。 简单的案例演示 php环境pikachu靶场 这里有个下载图片的位置 分别复制了图片和下方名字的下载链接的url链接发现得到了文件的位置和链接的位置 我们看下方的下载链接的url可以看到下载实际上就是给这个PHP文件中传入了那个文件的名称但是文件在PHP文件的下一级文件夹中所以推测前方默认添加了一下下载download文件夹中的路径。 假设我们的目标是获得这个执行下载功能的PHP文件但是他下载的目录在下一级文件夹这时我们可以用..来跳出当前文件夹实现下载。 于是文件就被下载下来了。源码到手 从源码中可以看到他下载地址默认添加了download文件夹 漏洞的挖掘 1.找那种有下载功能的地方 2.根据URL进行判断跟上面案例的判断方式一样 3.代码审计 4.扫描工具 5.公开的漏洞 判断目标目录结构的方法 从上面案例中我们能够看见我们要进行文件下载的话是要知道网站的目录结构的。 以下是我整理的一些办法 1.用扫描工具原理是用一个字典去挨个访问 2.手工判断根据url后面显示的目录或者是跟案例一样复制一下地址。 下载读取配置文件 这个文件是数据库的配置文件 我们通过跳转到对应的文件夹中去下载 然后就获取了这里面的源码 数据库信息就泄露了。 总结 嗯。。总之。。就是好
http://www.pierceye.com/news/198095/

相关文章:

  • 谷歌浏览器对做网站有什么好处广州最好网站策划
  • 西安北郊做网站重庆手机软件开发
  • 怀化刚刚发生的大事台州seo服务
  • 织梦做的网站打开空白巴中网站制作公司
  • 如何使用jq做弹幕网站设计漂亮的网站
  • 电商网站是获取流量广西南宁网站排名优化
  • 网站板块设计有哪些开发网站监控推荐
  • 江西建设局网站广东网站建设类公司
  • 深圳网站制作设计艾佳工业设计
  • 怎么查看网站啥系统做的宁波网站设计制作
  • 温岭手机网站建设合肥企业展厅设计公司
  • 网站建设和制作怎么赚钱外贸网站建设服务器
  • 长沙自动化网站建设瑞安地区建设网站
  • 中山做网站费用网页制作简明教程
  • 芜湖做网站需要多少钱青岛网站建设公司怎么选
  • 塑胶 东莞网站建设企业网络推广培训
  • wordpress五分钟建站手机网站 cms
  • 网站前台后台河南省建设工程质量协会网站
  • wordpress无法拖动小工具长沙seo网站推广
  • 网站的推广方案的内容有哪些网站建设所需技术
  • 手机微网站怎么制作的威特视频网站建设方案
  • 视频播放网站开发的报告潮州网站网站建设
  • 如何查询网站域名备案建设网站找什么问题
  • 南开大学 网站开发技术 刘冲网站排名优化有哪些牛霸天的软件1
  • 高品质网站设计北京市地铁建设管理公司网站
  • 初次建设网站的技巧织梦做分类信息网站
  • 宣讲家网站官网加强作风建设网站业务怎么做的
  • 厚街网站建设价格做办公室的网站
  • 青海做网站找谁wordpress gif缩略图
  • 手机网站全屏显示如何把自己做的网站放到微信上