PHP本地包含漏洞代码溯源
- 难易程度 :两颗星
- 分类:WEB安全
- 标签:设计缺陷、安全杂项
背景介绍
- PHP程序员为了方便调用本地的页面,而使用了危险函数。需要你根据代码提示溯源。
实训目标
- 了解PHP的基本代码;
- 了解本地文件包含形成的原因;
- 掌握本地包含漏洞的利用过程
解题步骤
打开页面,查看页面源码,发现以下代码段:
代码段意思:访问 r.php 文件,并GET传入文件名,进行访问TXT文件。
尝试输入以下url:http://219.153.49.228:40939/r.php?p=the_key_is_here
发现不成功,再次检查题目,是本地文件包含漏洞,因此应该使用 file:/// 来访问服务器本地文件
输入以下url:http://219.153.49.228:40939/r.php?p=file:///the_key_is_here
成功拿到key