什么是文件包含?
本室旨在为您提供利用文件包含漏洞的基本知识,包括本地文件包含 (LFI)、远程文件包含 (RFI) 和目录遍历。此外,我们将讨论这些漏洞被发现后的风险以及所需的补救措施
在某些情况下,Web 应用程序被编写为通过参数请求访问给定系统上的文件,包括图像、静态文本等。参数是附加到 URL 的查询参数字符串,可用于检索数据或根据用户输入执行操作。 下图解释并分解了 URL 的基本部分
例如,参数用于 Google 搜索,其中 GET 请求将用户输入传递到搜索引擎。 https://www.google.com/search?q=TryHackMe
让我们讨论一个用户请求从网络服务器访问文件的场景。 首先,用户向网络服务器发送一个HTTP请求,其中包含要显示的文件。例如,如果用户想要在 Web 应用程序中访问和显示他们的 CV,请求可能如下所示 http://webapp.thm/get.php?file=userCV.pdf ,其中file是参数, userCV.pdf是访问所需的文件。