一、檔案包含漏洞是什么?
檔案包含:程式開發員會將經常用的函式寫在單個檔案中,之后用到時就可以直接呼叫該檔案,提高代碼重用性,
但正是由于這種可呼叫,從而導致客戶端可以呼叫一個惡意檔案,造成檔案包含漏洞,
常用檔案包含函式
include();require();include_once();require_once();
二、利用條件
- 程式用include()等檔案包含函式通過動態變數的范式引入需要包含的檔案
- 用戶能控制該動態變數
三、漏洞分類
- 本地檔案包含漏洞
- 上傳圖片馬再包含
- 讀敏感檔案包含
- 包含日志檔案GetShell
- 包含/proc/self/envion檔案GetShell
- 包含data:或php://input等偽協議
- 若有phpinfo則可以包含臨時檔案
2.遠程檔案包含
可以直接執行任何代碼,但要保證php.ini中allow_url_fopen和allow_url_include為On
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/241244.html
標籤:其他