web

分类: web文本: web日期: 2026年6月11日 题目链接：https://ctf.show/challenges#web13-45 思考文件上传和文件包含的区别： 文件上传：写入文件，利用服务器校验漏洞，将一个不该上传的文件上传到服务器 文件包含：让服务器读取或者执行我指定的文件 对比点 文件上传 文件包含 本质 上传文件到服务器 让服务器包含某个文件 核心动作 写入 读取 / 执行 常见入口 头像、附件、图片上传 ?page=xxx、?file=xxx 关注点 后缀、MIME、文件头、解析规则 路径控制、目录穿越、包含方式 成功关键 上传的文件能否被解析执行 被包含的文件是否可控、是否被当代码执行 常见组合 图片马、.htaccess、.user.ini 本地文件包含、远程文件包含、日志包含 测试测试脚本： 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575...