我正在尝试对网站使用目录遍历攻击

Question

我试图对网站进行笔试，所以，如果我设法浏览了包括db config和.php文件的网站目录，但是每当打开任何.php文件时，都不会像空文件一样显示任何内容，并且网站上的每个.php文件都表现相同，我无法找出原因

Answer 1

也许，您可以使用类似的tactik来读取php文件的来源；

language = php：//filter/read=convert.base64-encode/resource=/etc/passwd

您可以假设language是易受攻击的参数，然后尝试读取/ etc / passwd文件。返回base64值，您应该对其进行解码。您可以通过这种方式查看和文件的内容。