1、文件包含漏洞是什么?
文件包含:程序开发员会将常常用的函数写在单个文件中,以后用到时就能够直接调用该文件,提升代码重用性。
但正是因为这种可调用,从而致使客户端能够调用一个恶意文件,形成文件包含漏洞。
经常使用文件包含函数
include();require();include_once();require_once();php
2、利用条件
- 程序用include()等文件包含函数经过动态变量的范式引入须要包含的文件
- 用户能控制该动态变量
3、漏洞分类
- 本地文件包含漏洞
- 上传图片马再包含
- 读敏感文件包含
- 包含日志文件GetShell
- 包含/proc/self/envion文件GetShell
- 包含data:或php://input等伪协议
- 如有phpinfo则能够包含临时文件 2.远程文件包含 能够直接执行任何代码,但要保证php.ini中allow_url_fopen和allow_url_include为On