从CTF中学习文件包含漏洞

文章预览

什么是文件包含漏洞？漏洞的原理是什么？ 文件包含函数加载的参数没有经过过滤或严格定义，可以被用户控制， 包含其他恶意文件，导致了执行非预期代码。 文件包含漏洞可以分为 RFI (远程文件包含)和 LFI（本地文件包含漏洞）两种。 区分他们最简单的方法就是 php.ini 中是否开启了allow_url_include。 如果开启了我们就有可能包含远程文件。· php 中引发文件包含漏洞的通常是以下四个函数： 1、include() 当使用该函数包含文件时，只有代码执行到 include() 函数时才将文件包含进来， 发生错误时只给出一个警告，继续向下执行。 2、include_once() 功能和 include() 相同，区别在于当重复调用同一文件时，程序只调用一次。 3、require() 只要程序一执行就会立即调用文件,发生错误的时候会输出错误信息,并且终止脚本的运行 4、require_once() 它的功能与 require() 相 ………………………………