我正在尝试对网站使用目录遍历攻击

时间:2018-09-28 13:36:33

标签: security server-side-attacks

我试图对网站进行笔试,所以,如果我设法浏览了包括db config和.php文件的网站目录,但是每当打开任何.php文件时,都不会像空文件一样显示任何内容,并且网站上的每个.php文件都表现相同,我无法找出原因

1 个答案:

答案 0 :(得分:0)

也许,您可以使用类似的tactik来读取php文件的来源;

language = php://filter/read=convert.base64-encode/resource=/etc/passwd

您可以假设language是易受攻击的参数,然后尝试读取/ etc / passwd文件。返回base64值,您应该对其进行解码。您可以通过这种方式查看和文件的内容。