Einführung

Wir haben abgedeckt Dateieinbindung Schwachstellen sowohl lokal als auch remote. Wir haben auch Methoden zum Umgehen von Filtern erklärt. Dies war Teil des TryHackMe Junior Penetration Testers.

In diesem Raum erhalten Sie das notwendige Wissen, um File-Inclusion-Schwachstellen auszunutzen, darunter Local File Inclusion (LFI), Remote File Inclusion (RFI) und Directory Traversal. Außerdem besprechen wir das Risiko dieser Schwachstellen, wenn sie gefunden werden, und die erforderlichen Abhilfemaßnahmen. Wir liefern einige praktische Beispiele für jede Schwachstelle sowie praktische Herausforderungen.

In einigen Szenarien werden Webanwendungen geschrieben, um über Parameter Zugriff auf Dateien auf einem bestimmten System anzufordern, darunter Bilder, statischer Text usw. Parameter sind an die URL angehängte Abfrageparameterzeichenfolgen, die zum Abrufen von Daten oder Ausführen von Aktionen basierend auf Benutzereingaben verwendet werden können.

Holen Sie sich Hinweise zum OSCP-Zertifikat

Antworten

Welche Funktion verursacht Pfaddurchquerungs-Schwachstellen in PHP?
Probieren Sie Lab #1 aus und lesen Sie /etc/passwd. Wie würde die Anforderungs-URI lauten?

Welches Verzeichnis wird im Labor #2 in der Include-Funktion angegeben?

Versuchen Sie im Labor #3, /etc/passwd zu lesen. Wie sieht die Anfrage aus?

Welche Funktion verursacht die Verzeichnisdurchquerung im Labor #4?

Probieren Sie Lab #6 aus und prüfen Sie, welches Verzeichnis im Eingabefeld stehen muss.

Probieren Sie Lab #6 aus und lesen Sie /etc/os-release. Was ist der VERSION_ID Wert?
Erfassen Sie Flag1 unter /etc/flag1

Erfassen Sie Flag2 unter /etc/flag2

Erfassen Sie Flag3 unter /etc/flag3

Gewinnen Sie RCE in Labor #Spielplatz /spielplatz.php mit RFI zur Durchführung der Hostname Befehl. Was ist die Ausgabe?

Video-Anleitung

 

, , ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen