phpmyadmin文件包含

CVE-2018-12613 —
本地文件包含造成远程代码执行漏洞复现，其实就是我们常见的LFI漏洞。在我前面写的博客里面又详细介绍。这次我们直接进入墨者学院进行复现，不再自行搭建环境。

<>进入环境



这里使用弱口令进入，账号root，密码root。
进入之后页面如下：


<>执行sql语句挂入一句话木马

进入SQL执行页面


点击执行。

<>使用中国菜刀连接服务器


在根目录下我们发现key.txt文件，打开查看

提交key即可。

<>总结


LFI的思路其实大同小异。在刚接到这个漏洞时我也是一头雾水，后来在网上查询相关资料后，还是有点懵。但在看到后面别人使用SQL执行语句再包含时我发现那一句就是一句话木马啊，后来就成功复现了。
文件包含主要有远程文件包含和本地文件包含，原理都似乎有点联系，dvwa上文件的洞我复现的差不多了，等过一段时间会整理出一个系列。

如需转载，请注明原文出处，作者：vergilben

• « 上一篇：Linux中静态网络和dhcp服务配置
• » 下一篇：硅谷的程序员, 入职第一天都在干什么？