本地文件包含漏洞利用注意事项

本地文件包含漏洞利用注意事项

  1. 当怀疑某个URL中的参数有LFI漏洞时,可以用/etc/passwd, /var/log/auth.log, /var/log/apache2/access.log,等进行测试,如果已知靶机有其他服务,比如邮件,那么可能还需要测试/var/mail/用户名

  2. 上述文件如果没有内容返回,在其前面加上../../../../../../../

  3. 可以测试是否可以使用过滤filter,php://filter/convert.base64-encode/resource

  4. 测试是否有远程文件包含漏洞

  5. 上述文件均不奏效时,有时需要去掉扩展名,比如/var/log/auth

posted @ 2023-08-01 16:11  Jason_huawen  阅读(16)  评论(0编辑  收藏  举报