本地文件包含漏洞利用注意事项

本地文件包含漏洞利用注意事项

1. 当怀疑某个URL中的参数有LFI漏洞时，可以用/etc/passwd, /var/log/auth.log, /var/log/apache2/access.log,等进行测试，如果已知靶机有其他服务，比如邮件，那么可能还需要测试/var/mail/用户名

2. 上述文件如果没有内容返回，在其前面加上../../../../../../../

3. 可以测试是否可以使用过滤filter,php://filter/convert.base64-encode/resource

4. 测试是否有远程文件包含漏洞

5. 上述文件均不奏效时，有时需要去掉扩展名，比如/var/log/auth