1.本地文件包含

抓包,修改参数

 

 

 

执行恶意文件

 

 

 成功执行

 

 

 2.远程文件包含

远程文件包含漏洞。是指能够包含远程服务器上的文件并执行。由于远程服务器的文件是我们可控的，因此漏洞一旦存在危害性会很大。
但RFI的利用条件较为苛刻，需要php.ini中进行配置

1. allow_url_fopen = On
2. allow_url_include = On

 

 3.不安全的文件下载

修改抓包参数,实现任意下载

 

 4.文件上传(客户端check)

客户端检查的话,先放一个格式对的文件,在提交上传时抓包修改就行

 

 上传1.txt成功

 

 

5.文件上传(服务端check)