我正在尝试对网站使用目录遍历攻击
I'm trying to use directory traversal attack against website
我正在尝试对网站进行渗透测试,因此如果我设法浏览网站目录,包括 db config 和 .php 文件,但无论何时打开任何 .php 文件,都不会显示空文件和每个 . php 网站上的文件表现相同,我不明白为什么
也许,您可以使用类似的策略阅读 php 个文件的源代码;
语言=php://filter/read=转换。base64-encode/resource=/etc/passwd
您可以假设语言是易受攻击的参数,并且您尝试读取 /etc/passwd 文件。 return 一个 base64 值,你应该解码它。可以通过这种方式查看和文件的内容
我正在尝试对网站进行渗透测试,因此如果我设法浏览网站目录,包括 db config 和 .php 文件,但无论何时打开任何 .php 文件,都不会显示空文件和每个 . php 网站上的文件表现相同,我不明白为什么
也许,您可以使用类似的策略阅读 php 个文件的源代码;
语言=php://filter/read=转换。base64-encode/resource=/etc/passwd
您可以假设语言是易受攻击的参数,并且您尝试读取 /etc/passwd 文件。 return 一个 base64 值,你应该解码它。可以通过这种方式查看和文件的内容