渗透测试-文件包含漏洞

1. 文件包含漏洞概述
2. 文件包含漏洞利用
3. 文件包含漏洞绕过
4. 文件包含漏洞防御

一、文件包含漏洞概述

PHP文件包含函数

文件包含分类

• 本地文件包含 LFI（Local File Include）
• 远程文件包含 RFI（Remote File Include）：简单来说就是解析远程服务器的文件，但是存在限制。

文件包含环境说明

漏洞的危害

二、文件包含漏洞利用

任意文件直接读取

远程文件包含

包含上传文件

包含日志文件

将php代码插入到日志文件中

通过文件包含漏洞来执行日志中的PHP代码

包含 SESSION

过程

PHP伪协议

PHP 提供了一些杂项输入/输出（IO）流，允许访问PHP的输入输出流、标准输入输出和错误描述符，内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。

三、文件包含漏洞绕过

四、文件包含漏洞防御

warning ：未经授权，不得转载
声明：本文旨在为学习网络信息安全的同学提供指引帮助，维护网络空间的安全
有问题的小伙伴请在下方留言，喜欢就点个赞吧；关注我，带你一起写bug
知乎：叄贰壹
简书：带只拖鞋去流浪