文件包含
文件上传回顾
DVWA里面
low中是不会限制
middle中简单限制时,可以通过在前端设置一个代理,然后通过拦截请求,修改成允许的类型就可以绕过这个限制。
high中留下一个问题,就是当修改后缀后,一句话木马无法使用。
防御时,一般是可以配置waf。 如果没有waf,那就用其他方法去检测代码。
文件包含
原理:File Inclusion
可以分为本地文件包含LFI和远程文件包含RFI
本地文件包含
将包含一句话木马的程序(php/TXT/JPEG)传到网站服务器上面
远程文件包含
把将包含一句话木马的程序(php/TXT/JPEG)ABC,放在事先准备的一台其他远程服务器上面,只要能成功访问ABC,这样包含ABC的时候就是通过引用URL来远程包含这个木马程序