File Inclusion

Lade beliebige Dateien vom Server – lokal (LFI) oder remote (RFI).

Level 1 Level 2 Level 3

Level 2: LFI mit einfachem Filter
../ wird gefiltert – aber gibt es andere Wege?

Home Über uns Kontakt

Kontakt

E-Mail: info@fpv-spots.example.com

str_replace('../', '', ...) ist umgehbar durch:

  ....// → nach Filter: ../
  ..././ → nach Filter: ../
  Doppeltes Encoding: %2e%2e%2f

Beispiele:
  ?level=2&page=....//....//....//php/db
  ?level=2&page=..././..././..././php/db