【网络安全】文件包含漏洞--通过日志投毒getshell

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 文件包含漏洞--通过日志投毒getshell

 

博主昵称:跳楼梯企鹅
博主主页面链接:博主主页传送门

博主专栏页面连接:专栏传送门--网路安全技术
创作初心:本博客的初心为与技术朋友们相互交流,每个人的技术都存在短板,博主也是一样,虚心求教,希望各位技术友给予指导。
博主座右铭:发现光,追随光,成为光,散发光;
博主研究方向:渗透测试、机器学习 ;
博主寄语:感谢各位技术友的支持,您的支持就是我前进的动力 ;

image.gif编辑

一、文件包含漏洞

在之前已将讲解过,想了解可以点击链接点击跳转

 

二、日志的作用

(1)网站日志是什么

服务器日志(server log)是一个或多个由服务器自动创建和维护的日志文件,其中包含其所执行活动的列表。

服务器日志的典型例子是网页服务器的日志,其中包含页面请求的历史记录。W3C维护有一个网页服务器日志文件的标准格式——通用日志格式,但亦有其他专有格式存在。近年来的日志文件通常将内容附加到文件的结尾。添加的信息有关请求,包括客户端IP地址、请求日期/时间、请求的网页HTTP代码、提供的字节数、用户代理、引用地址等。这些数据可能写入在一个文件中,也可能分隔成不同的日志,如访问日志、错误日志、引荐者日志等。但是,服务器日志通常不会收集特定用户的信息。

(2)日志的作用

1. 网站日志与网站分析有着相互存在的价值和意义,通过分析网站日志可以知道网站访客来自于那里?网站访客在寻找什么?哪个页面最受欢迎?网站访客从哪里离开?网站管理员、运营人员、推广人员可以根据这些数据信息实时掌握网站流量信息,并了解用户的具体行为和解析用户的目的。从而优化网站,提升网站用户体验,提高网站流量,让访客更多的沉淀下来变成会员或客户,通过更少的投入获得最大化的收入。

2. 网站日志详细记录着网站运行的信息,因此网站稍稍有点异常情况,都可以通过网站日志分析出网站运营过程中发生的错误详情,如错误页面、错误代码等信息,这样可以查缺补漏,弥补网站运营中所遇到的失误,及排除和解决运营中遇到的其他问题。例如:找出404页面,尽量恢复网站访问;找出其他出问题的页面,包括死链链接,返回码是不正常的,就有必要处理,让页面恢复正常访问,不能恢复正常访问的死链接,建立txt文档,向百度站长平台提交。

3. 网站日志还记录着搜索引擎蜘蛛爬行网站的详细情况,并以此来分析搜索引擎蜘蛛的意图,从而让网站的优化工作变得更为直观且有迹可循,并做出利于搜索引擎优化的调整。例如:发现百度蜘蛛每天都会在某个固定时间来访问网站,那么就可以选择在这个固定时间内进行网站内容更新。

三、开始复现

(1)我们通过phpinfo查询日志的绝对路径

image.gif图片.png

(2)根据路径查看代码 图片.pngimage.gif

(3)任意访问,查看时候记录日志了 图片.png

(4)打开日志

image.gif图片.png

发现确实存储进去了

(5)利用网址进入目录

图片.pngimage.gif

(6)进行一句话木马写入

图片.png

(7)需要抓包改一下编码继续写入

图片.pngimage.gif

(8)验证

图片.pngimage.gif

(9)查看效果

图片.png


这里是因为编码问题所以看这个很乱,但是能看到是存在ip的

复现完

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
3天前
|
存储 监控 安全
网络安全视角:从地域到账号的阿里云日志审计实践
日志审计的必要性在于其能够帮助企业和组织落实法律要求,打破信息孤岛和应对安全威胁。选择 SLS 下日志审计应用,一方面是选择国家网络安全专用认证的日志分析产品,另一方面可以快速帮助大型公司统一管理多组地域、多个账号的日志数据。除了在日志服务中存储、查看和分析日志外,还可通过报表分析和告警配置,主动发现潜在的安全威胁,增强云上资产安全。
|
23天前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。
|
24天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将从网络安全漏洞、加密技术和安全意识三个方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,帮助读者更好地保护自己的网络信息安全。
45 10
|
25天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,并提供一些实用的代码示例。通过阅读本文,您将了解到如何保护自己的网络安全,以及如何提高自己的信息安全意识。
53 10
|
26天前
|
SQL 安全 网络安全
网络安全漏洞、加密技术与安全意识的知识分享
随着互联网的普及,网络安全问题日益严重。本文将介绍网络安全漏洞的概念、类型和防范措施,以及加密技术的原理和应用。同时,强调提高个人和企业的安全意识对于防范网络攻击的重要性。
|
27天前
|
监控 安全 网络安全
网络安全与信息安全:漏洞、加密与意识的交织
在数字时代的浪潮中,网络安全与信息安全成为维护数据完整性、保密性和可用性的关键。本文深入探讨了网络安全中的漏洞概念、加密技术的应用以及提升安全意识的重要性。通过实际案例分析,揭示了网络攻击的常见模式和防御策略,强调了教育和技术并重的安全理念。旨在为读者提供一套全面的网络安全知识框架,从而在日益复杂的网络环境中保护个人和组织的资产安全。
|
24天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们日常生活中不可或缺的一部分。本文将深入探讨网络安全漏洞、加密技术和安全意识等方面的问题,并提供一些实用的建议和解决方案。我们将通过分析网络攻击的常见形式,揭示网络安全的脆弱性,并介绍如何利用加密技术来保护数据。此外,我们还将强调提高个人和企业的安全意识的重要性,以应对日益复杂的网络威胁。无论你是普通用户还是IT专业人士,这篇文章都将为你提供有价值的见解和指导。
|
25天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:漏洞、加密与意识的艺术
在数字世界的迷宫中,网络安全和信息安全是守护者之剑。本文将揭示网络漏洞的面纱,探索加密技术的奥秘,并强调安全意识的重要性。通过深入浅出的方式,我们将一起走进这个充满挑战和机遇的领域,了解如何保护我们的数字身份不受威胁,以及如何在这个不断变化的环境中保持警惕和适应。
38 1
|
27天前
|
安全 网络安全 数据安全/隐私保护
网络安全的护城河:漏洞、加密与意识的三重奏
在数字时代的浪潮中,信息安全如同一座城堡的护城河,保护着数据的安全和隐私。本文将探讨网络安全中的漏洞、加密技术和安全意识三个核心要素,以及它们如何协同作用,形成一道坚固的防线。通过深入浅出的方式,我们将了解网络攻击者如何利用漏洞进行入侵,加密技术如何为我们的数据穿上“铠甲”,以及为何培养良好的安全习惯是维护网络安全不可或缺的一环。
|
27天前
|
SQL 安全 算法
网络安全之盾:漏洞防御与加密技术解析
在数字时代的浪潮中,网络安全和信息安全成为维护个人隐私和企业资产的重要防线。本文将深入探讨网络安全的薄弱环节—漏洞,并分析如何通过加密技术来加固这道防线。文章还将分享提升安全意识的重要性,以预防潜在的网络威胁,确保数据的安全与隐私。
52 2