我正在尝试对网站使用目录遍历攻击

I'm trying to use directory traversal attack against website

我正在尝试对网站进行渗透测试,因此如果我设法浏览网站目录,包括 db config 和 .php 文件,但无论何时打开任何 .php 文件,都不会显示空文件和每个 . php 网站上的文件表现相同,我不明白为什么

也许,您可以使用类似的策略阅读 php 个文件的源代码;

语言=php://filter/read=转换。base64-encode/resource=/etc/passwd

您可以假设语言是易受攻击的参数,并且您尝试读取 /etc/passwd 文件。 return 一个 base64 值,你应该解码它。可以通过这种方式查看和文件的内容