php檔案包含利用
(1). 讀取敏感檔案
訪問:如果目標主機檔案存在,並切有相應的許可權,就可以讀出檔案的內容。反之,會得到乙個類似與: open_basedirrestriction in effect的警告
常見敏感資訊如下:
win:
c:\boot.ini //檢視系統版本
c:\windows\system32\instsrv\metabase.xml //iis配置檔案
c:\windows\repair\sam //儲存windows系統初次安裝的密碼
c:\program files\mysql\my.ini //mysql配置
c:\program files\mysql\data\mysql\user.myd //mysql root
c:\windows\php.ini //php配置資訊
c:\windows\my.ini //mysql配置資訊
/etc/my.conf //mysql配置檔案
open basedir php檔案包含目錄配置
open basedir將php所能開啟的檔案限定在制定的目錄樹中,包括其檔案本身,當使用這些fopen,file put contents 開啟乙個檔案,這個檔案的檔案的位置會被檢查,如果檔案在其指定的目錄樹之外,程式將會被拒絕開啟。錯誤如下 通過檢視crontab定時命令 grep index....
漏洞之檔案包含漏洞
在專案中為了更好地使用 的重用性,引入了檔案包含函式,可以通過檔案包含函式將檔案包含進來,直接使用包含檔案的 完成類似python中的import功能。在包含檔案時候,為了靈活包含檔案,將被包含檔案設定為變數,通過動態變數來引入需要包含的檔案時,使用者可以對變數的值可控而伺服器端未對變數值進行合理地...
DVWA之檔案包含詳解
在web應用中,開發人員為了提高開發效率,通常會把多個頁面存在的共用功能編寫在乙個檔案 中,當其他頁面需要使用的時候,利用檔案包含的函式就可以呼叫這部分的 如果伺服器配置不當或者對使用者輸入的資料過濾不嚴,就會導致使用者可以修改檔案包含的位址,操作意料之外的檔案或進行惡意 注入。require 找不...