【网络安全】文件包含漏洞--通过日志投毒getshell

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 文件包含漏洞--通过日志投毒getshell

 

博主昵称:跳楼梯企鹅
博主主页面链接:博主主页传送门

博主专栏页面连接:专栏传送门--网路安全技术
创作初心:本博客的初心为与技术朋友们相互交流,每个人的技术都存在短板,博主也是一样,虚心求教,希望各位技术友给予指导。
博主座右铭:发现光,追随光,成为光,散发光;
博主研究方向:渗透测试、机器学习 ;
博主寄语:感谢各位技术友的支持,您的支持就是我前进的动力 ;

image.gif编辑

一、文件包含漏洞

在之前已将讲解过,想了解可以点击链接点击跳转

 

二、日志的作用

(1)网站日志是什么

服务器日志(server log)是一个或多个由服务器自动创建和维护的日志文件,其中包含其所执行活动的列表。

服务器日志的典型例子是网页服务器的日志,其中包含页面请求的历史记录。W3C维护有一个网页服务器日志文件的标准格式——通用日志格式,但亦有其他专有格式存在。近年来的日志文件通常将内容附加到文件的结尾。添加的信息有关请求,包括客户端IP地址、请求日期/时间、请求的网页HTTP代码、提供的字节数、用户代理、引用地址等。这些数据可能写入在一个文件中,也可能分隔成不同的日志,如访问日志、错误日志、引荐者日志等。但是,服务器日志通常不会收集特定用户的信息。

(2)日志的作用

1. 网站日志与网站分析有着相互存在的价值和意义,通过分析网站日志可以知道网站访客来自于那里?网站访客在寻找什么?哪个页面最受欢迎?网站访客从哪里离开?网站管理员、运营人员、推广人员可以根据这些数据信息实时掌握网站流量信息,并了解用户的具体行为和解析用户的目的。从而优化网站,提升网站用户体验,提高网站流量,让访客更多的沉淀下来变成会员或客户,通过更少的投入获得最大化的收入。

2. 网站日志详细记录着网站运行的信息,因此网站稍稍有点异常情况,都可以通过网站日志分析出网站运营过程中发生的错误详情,如错误页面、错误代码等信息,这样可以查缺补漏,弥补网站运营中所遇到的失误,及排除和解决运营中遇到的其他问题。例如:找出404页面,尽量恢复网站访问;找出其他出问题的页面,包括死链链接,返回码是不正常的,就有必要处理,让页面恢复正常访问,不能恢复正常访问的死链接,建立txt文档,向百度站长平台提交。

3. 网站日志还记录着搜索引擎蜘蛛爬行网站的详细情况,并以此来分析搜索引擎蜘蛛的意图,从而让网站的优化工作变得更为直观且有迹可循,并做出利于搜索引擎优化的调整。例如:发现百度蜘蛛每天都会在某个固定时间来访问网站,那么就可以选择在这个固定时间内进行网站内容更新。

三、开始复现

(1)我们通过phpinfo查询日志的绝对路径

image.gif图片.png

(2)根据路径查看代码 图片.pngimage.gif

(3)任意访问,查看时候记录日志了 图片.png

(4)打开日志

image.gif图片.png

发现确实存储进去了

(5)利用网址进入目录

图片.pngimage.gif

(6)进行一句话木马写入

图片.png

(7)需要抓包改一下编码继续写入

图片.pngimage.gif

(8)验证

图片.pngimage.gif

(9)查看效果

图片.png


这里是因为编码问题所以看这个很乱,但是能看到是存在ip的

复现完

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
4天前
|
存储 安全 算法
网络安全的屏障与钥匙:漏洞防御、加密技术与安全意识
【10月更文挑战第31天】在数字时代的海洋中,网络安全犹如灯塔指引着信息的安全航行。本文将探讨网络安全的三大支柱:网络漏洞的防御策略、加密技术的应用以及提高个人和组织的安全意识。通过深入浅出的分析,我们将了解如何构建坚固的网络防线,保护数据不受威胁,并提升整个社会对信息安全的认识和重视。
|
4天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第31天】本文将探讨网络安全和信息安全的重要性,以及如何通过理解和应用相关的技术和策略来保护我们的信息。我们将讨论网络安全漏洞、加密技术以及如何提高安全意识等主题。无论你是IT专业人士,还是对网络安全感兴趣的普通用户,都可以从中获得有用的信息和建议。
16 1
|
4天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第31天】随着互联网的普及,网络安全问题日益突出。本文将探讨网络安全漏洞、加密技术和安全意识等方面的内容,帮助读者了解网络安全的重要性,提高自身的网络安全防护能力。
|
5天前
|
安全 算法 测试技术
网络防线的构筑者:探索网络安全漏洞与加密技术
【10月更文挑战第31天】在数字时代的浪潮中,信息安全成为我们不可忽视的盾牌。本文将深入浅出地探讨网络安全的核心问题——安全漏洞与加密技术,并强调提升个人和组织的安全意识的重要性。我们将从基础概念出发,逐步深入到防御策略、加密算法,最终聚焦于如何通过教育和实践来提高整个社会的安全防范意识。文章旨在为非专业读者提供一扇了解网络安全世界的窗口,同时为专业人士提供实用的知识分享和思考启发。
|
5天前
|
存储 SQL 安全
网络安全的屏障与钥匙:漏洞、加密与意识的交织
【10月更文挑战第31天】在数字化浪潮中,网络安全成为守护信息资产的关键盾牌。本文将深入探讨网络安全中的漏洞识别、加密技术的应用以及提升个人和组织的安全意识。我们将通过实际案例分析常见的网络攻击手段,并介绍如何利用加密算法加强数据保护。同时,文章强调培养安全意识的重要性,并提供实用的建议来构建更安全的网络环境。让我们一起揭开网络安全的神秘面纱,探索防御策略,为信息安全护航。
|
6天前
|
存储 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第30天】在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术以及安全意识等方面的知识,帮助读者更好地了解网络安全的重要性,提高自己的网络安全意识和技能。
|
3天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第33天】在数字化时代,网络安全和信息安全已经成为了我们生活中不可或缺的一部分。然而,随着技术的发展,网络安全问题也日益严重。本文将从网络安全漏洞、加密技术、安全意识等方面进行探讨,以期提高大家的网络安全意识和技能。
11 0
|
3天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:漏洞、加密技术与安全意识的重要性
【10月更文挑战第33天】在数字时代,网络安全和信息安全是保护个人隐私和企业资产的关键。本文深入探讨了网络安全的漏洞、加密技术的应用以及提升安全意识的必要性。通过分析最新的网络攻击案例,本文提供了实用的防护措施和建议,旨在帮助读者构建更安全的网络环境。
11 0
|
4天前
|
安全 网络协议 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第32天】在数字时代,网络安全和信息安全已成为我们日常生活中不可或缺的一部分。本文将探讨网络安全漏洞、加密技术和安全意识等方面的内容,并提供一些实用的建议来保护您的个人信息和设备。无论您是个人用户还是企业,了解这些知识都是非常重要的。通过阅读本文,您将了解到网络安全的基本原理、常见的网络攻击方式以及如何防范它们。此外,我们还将介绍一些加密技术和安全工具,以帮助您更好地保护自己的数据和隐私。最后,我们将强调安全意识的重要性,并提供一些实用的技巧来提高您的安全意识。让我们一起努力,共同构建一个更加安全的网络环境!
11 0
|
4天前
|
SQL 安全 网络安全
网络安全漏洞与防护:加密技术与安全意识的重要性
【10月更文挑战第32天】在数字化时代,网络安全漏洞的发现和利用成为了信息安全领域的一大挑战。本文将探讨网络安全漏洞的类型、成因,以及如何通过加密技术和提高安全意识来防范这些风险。我们将分析常见的网络攻击手段,如SQL注入、跨站脚本攻击(XSS)和分布式拒绝服务(DDoS),并讨论如何使用加密算法和安全协议来保护数据。此外,文章还将强调用户在维护网络安全中的作用,包括识别钓鱼邮件、使用强密码和定期更新软件等实践。通过结合技术措施和人为因素,我们可以构建一个更加安全的网络环境。
下一篇
无影云桌面