包含日志文件

原理:某个PHP文件存在本地包含漏洞,却无法上传正常文件,包含漏洞却不能利用,攻击者就有可能会利用apache日志文件来入侵。

Apache服务器运行后会生成两个日志文件,这两个文件是access.log(访问日志)error.log(错误日志)apache的日志文件记录下我们的操作,并且写到访问日志文件access.log之中

先解决phpstudy里面的 Apache没有access.log的问题

如图在apache的conf\https.con里面去掉日志行前面的注释,

因为日志记录占用空间,虚拟机里面并不需要,用完在加个#注释掉就可以了

包含日志文件_第1张图片

包含日志文件_第2张图片

测试用例网站

http://192.168.246.11/DVWA/index.php 等级调低

包含日志文件_第3张图片包含日志文件_第4张图片

把一句话木马写到日志中

包含日志文件_第5张图片

利用包含漏洞的漏洞点

包含日志文件_第6张图片

用菜刀连接这个网址,就能查看dvwa的网站信息了

包含日志文件_第7张图片

没有上传的地方的时候可以这种办法,前提要知道日志路径。

你可能感兴趣的:(it,web3,php,web安全)