PHP本地包含漏洞代碼溯源
- 難易程度 :兩顆星
- 分類:WEB安全
- 標籤:設計缺陷、安全雜項
背景介紹
- PHP程序員爲了方便調用本地的頁面,而使用了危險函數。需要你根據代碼提示溯源。
實訓目標
- 瞭解PHP的基本代碼;
- 瞭解本地文件包含形成的原因;
- 掌握本地包含漏洞的利用過程
解題步驟
打開頁面,查看頁面源碼,發現以下代碼段:
代碼段意思:訪問 r.php 文件,並GET傳入文件名,進行訪問TXT文件。
嘗試輸入以下url:http://219.153.49.228:40939/r.php?p=the_key_is_here
發現不成功,再次檢查題目,是本地文件包含漏洞,因此應該使用 file:/// 來訪問服務器本地文件
輸入以下url:http://219.153.49.228:40939/r.php?p=file:///the_key_is_here
成功拿到key