文件包含漏洞

标签（空格分隔）： 文件类

---

通常没有看到可以输入的框的时候可以试着看看URL的构造来进行分析
以攻防世界—-catcat-new为例
看着没有什么输入口但是观察URL–

http://61.147.171.35:51092/info?file=ForestCat.txt

有一个get了一个file=……此时思考是否会存在文件包含漏洞
进行目录遍历../../../../etc/passwd看看

![基础知识][1]
[1]: https://i-blog.csdnimg.cn/blog_migrate/a32eefce2f8aed5db5aa74de0dc8dd14.png

然后再用diserach扫描看看有没有可以访问的窗口
再用用wappalyzer看看框架，再搜一下他的主文件是什么
再进行目录遍历查询主文件

flask框架的主文件是app.py查询后由于过于复杂此时要进行可视化

#需要格式化的代码

code_str = ‘’’输入’’’
lines = code_str.split(‘\n’)
indented_lines = [line if line.strip() else ‘’ for line in lines]
formatted_code = ‘\n’.join(indented_lines)
print(formatted_code)

获得过后再进行代码审计再选择下一步