-1

我读了一本道德黑客书,我应该通过一个练习。在这个练习中有一个这样的 php 代码:

<?php
    $page = $_GET['p'];
    include($page.".php");
?>

我必须通过应用文件包含攻击来访问 passwd。我试过把 %00 放在 url 的结尾,但我不能。

4

1 回答 1

0

简单的空字节注入取决于当前的服务器配置。所以也许它被阻止了,因为magic_quotes_gpc它被打开了。

但也有其他攻击媒介:

于 2018-09-30T07:57:04.493 回答