可以看到查询结果和链接的关系!!!
看看提示!!!
小知识:
然后,我们看看源代码!!!我们查看一下:fi_local.php文件!!!
这里的内容与概述的内容相符合:
该漏洞根源所在:
文件包含的代码文件被写成了一个变量,且这个变量可以由前端用户传进来!!!
解决方法:
白名单,只允许必要的文件可以包含:即尽可以包含五个NBA球星对应的文件!!!
然而他的危害!!!
我们这里还是引用概述中的内容!!!
攻击着更多的会包含一些 固定的系统配置文件,从而读取系统敏感信息。如果对目标文件所在系统的目录非常了解,就可以通过本地文件包含来找配置文件!!!
比如:我们要看一下文件:
根据URL的地址:
../../../index.php
可以吧!!!
在看看这个!!!
一样!!!
这里有个问题:在往上的目录如下:
这里面有个PHP探针!!!我们试试这个可以访问到吗?
可以访问到!!!
这是可见本地包含漏洞可访问的范围之大!!!!
概述里还有一个描述!!!!
本地文件包含漏洞会结合一些特殊的文件上传漏洞
这个是啥情况呢!!!!
我这提供一种情况!!
上传图片:图片内携带PHP探针!!!
使用本地包含漏洞查看图片,PHP代码解析,显示PHP探针!!!
来源:freebuf.com 2021-07-27 08:15:45 by: 知非知非知非
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册