实验原理
1.文件包含函数加载的参数没有经过过滤或者严格定义,可以被用户控制,包含了其他恶意文件,导致执行了非预期的代码。分类:本地文件包含和远程文件包含。
2.可利用途径:读取敏感信息、远程包含shell、本地包含配合文件上传;
3.php伪协议
1,本地文件包含(无视后缀)
创建一个index.php文件,
然后再创建一个1.txt,文件内容为
然后尝试文件包含访问
可以显示出来,然后可以尝试更换文件后缀名,在进行尝试
后缀名更换为jpg
实验原理
1.文件包含函数加载的参数没有经过过滤或者严格定义,可以被用户控制,包含了其他恶意文件,导致执行了非预期的代码。分类:本地文件包含和远程文件包含。
2.可利用途径:读取敏感信息、远程包含shell、本地包含配合文件上传;
3.php伪协议
1,本地文件包含(无视后缀)
创建一个index.php文件,
然后再创建一个1.txt,文件内容为
然后尝试文件包含访问
可以显示出来,然后可以尝试更换文件后缀名,在进行尝试
后缀名更换为jpg