#File Inclusion
- PHP 기반 웹 어플리케이션에서 클라이언트(사용자)가 직접 파일을 업로드 할 수 있을 때 발생하는 취약점.
- RFI (Remote FIle Inclusion)과 LFI (Local File Inclusion)으로 나뉘어져 있다.
(1)#RFI : Remote File Inclusion -> 원격 파일 실행 (include나 requir같은 함수에서 URL전달값을 검사하지 못할 때)
- php파일들이 업로드 되어 있는 것을 확인하였다.
#게시글 업로드가 없으니 내부적으로 파일을 생성하여 넣어보겠다.
- /etc/passwd 파일을 위에서부터 5줄 출력
#end
(2)#LFI : Local File Inclusion -> 내부적 파일 실행 (시스템에 이미 존재하는 파일이 include함수로 들어갈 때)
- /etc 디렉터리에 hi라는 파일안에 Hello?라는 메세지를 넣었다.
#url 조작
- ../ : 한 단계 상위 디렉터리로 이동.
- etc폴더의 hi파일이 출력되는 것을 볼 수 있다.
'Web > Dvwa' 카테고리의 다른 글
| Dvwa(Level : Low) CSRF (0) | 2021.05.16 |
|---|