我知道我正在尝试做的事情的安全隐患,所以不要担心,我正在我拥有的一个小型 VPS 上做一个小型 LFI/RFI 演示,并且页面本身通过 .htaccess 密码。
我都设置了
allow_url_fopen = On
allow_url_include = On
在 php.ini 中,但是当包含文件时,我得到的只是一个空白页。PHP过滤器也不起作用,同样的空白页。文件系统内部的文件工作正常。
有趣的是,在日志中什么都没有显示,除了抱怨缺少 favicon(我正在查看 /var/log/apache2/error.log,我正在使用 /etc/php5/apache2/php.ini用于配置)。
代码如下所示:
<?php $page = $_GET['page'];
if ($page=="") echo "blank page"; else {include($page);} ?>
这很简单,不知道我做错了什么。
关于可能是什么问题的任何想法?
编辑:这很好用:
echo(file_get_contents('http://google.com'));
这不会:
include('http://google.com');