|
文件包含:
宗旨:将任何的php文件或者非php文件利用函数包含进php文件之后都会被当作php代码解析PHP提供一些函数来进?各个文件之间的相互引用,并提供了一些协议用于读取或者写入文件。
特殊文件包含:include('flag.php')包含flag.php文件最常见的使用:*php代码执行的时候会写去访问flag.php,就好似把flag.php文件全部放在了当前文件,并且执行包含后的这个文件========>不仅包含也会执行
其他函数:include、require、includeonce、requireonce、highlight_file、show_source、file_get_contents、fopen、file、readfie
#各种语言文件包含#ASP ASPX PHP JSP Python Javaweb<c:import url="http://..."><jsp:includepage="head.jsp"/><%@ include file="head.jsp"%><?php include('test.php' ?>
分类:
相关配置本地文件包含 (LFI):可以读取与打开本地文件远程文件包含 (RFI)(HTTP,FTP,PHP伪协议):可以远程加载文件
php.ini文件:本地:allow_url_fopen=On/Off远程:allow_url_include=On/Off<?phpif(isset($_GET['path'])){ include $_GET['path'];}else{ echo "?path=info.php";}?>本地:可通过相对路径方式找到文件?path=info.php远程:可通过http(s)或者ftp等方式远程加载文件?path=http://......info.php?path=ftp://......info.php
allow_url_fopen = On allow_url_include = On
本地文件包含:
通过浏览器包含web服务器上的文件,这种漏洞是因为浏览器包含文件时没有进行严格的过滤允许遍历目录的字符注入浏览器并执行?
远程文件包含:就是允许攻击者包含一个远程的文件,一般是在远程服务器上预先设置好的脚本。 此漏洞是因为浏览器对用户的输入没有进行检查,导致不同程度的信息泄露、拒绝服务攻击 甚至在目标服务器
?
?
?
?
|