在一些业务场景中,功能实现时候可能会用到外部输入,通过文件包含一起执行WEB程序脚本。当程序对其没做过滤或者过滤不严谨,就会造成文件包含高危漏洞。
实验步骤
0x1 文件包含漏洞介绍
0x2 文件包含漏洞复现
0x3 文件包含漏洞修复
实验环境说明
ubuntu:16、php:7.1、apache:2.2
靶场语言:PHP
实验默认关闭allow_url_include配置,就无法造成远程文件包含和php://input伪协议文件包含漏洞。
实验室功能支持,拦截请求、代码审计,你可以通过拦截更好完成实验,通过代码审计了解漏洞是如何形成和漏洞是如何修复;让攻击和防御用代码来说话。
攻防实验地址
https://www.anquanlong.com/lab_introduce?lab_id=22
