0

我知道我正在尝试做的事情的安全隐患,所以不要担心,我正在我拥有的一个小型 VPS 上做一个小型 LFI/RFI 演示,并且页面本身通过 .htaccess 密码。

我都设置了

allow_url_fopen = On
allow_url_include = On

在 php.ini 中,但是当包含文件时,我得到的只是一个空白页。PHP过滤器也不起作用,同样的空白页。文件系统内部的文件工作正常。

有趣的是,在日志中什么都没有显示,除了抱怨缺少 favicon(我正在查看 /var/log/apache2/error.log,我正在使用 /etc/php5/apache2/php.ini用于配置)。

代码如下所示:

<?php $page = $_GET['page'];
if ($page=="") echo "blank page"; else {include($page);} ?>

这很简单,不知道我做错了什么。

关于可能是什么问题的任何想法?

编辑:这很好用:

echo(file_get_contents('http://google.com'));

这不会:

include('http://google.com');
4

1 回答 1

0

这也发生在我身上。我可以通过禁用 suhosin 插件来修复它。

于 2013-06-05T08:35:53.273 回答