前端每次挑选篮球明星,都会通过get请求,传了文件名,把页面展示出来,由于文件名时前端传给后台;并且查看源码,没有对参数做限制;
尝试直接从前端修改filename 参数;
filename=../../../../../../../../../etc/passwd这样就变成包含passwd文件;
Pikachu-File Inclusion- 本地文件包含
什么鬼昵称2024-10-06 2:34
相关推荐
mooyuan天天18 天前
CISP-PTE 文件包含2021(9种方法渗透)mooyuan天天19 天前
CISP-PTE 文件包含9(七种方法渗透)mooyuan天天21 天前
CISP-PTE 文件包含5mooyuan天天22 天前
CISP-PTE 文件包含1(php://filter 伪协议)mooyuan天天24 天前
CTF-PTE 文件包含8(八种渗透方法)重生之我在番茄自学网安拯救世界1 个月前
网络安全中级阶段学习笔记(十二):PHP 文件包含漏洞全解析(原理 + 利用 + 防御 )码农12138号2 个月前
Bugku NUAACTF 2020 command-injection码农12138号2 个月前
网络安全 文件包含漏洞mooyuan天天4 个月前
CTFHub RCE通关笔记3:文件包含 php://inputmooyuan天天4 个月前
CTFHub RCE通关笔记5:文件包含 远程包含