【文件属性】：
文件名称：toxin:LFI（本地文件包含）漏洞利用工具
文件大小：10KB
文件格式：ZIP
更新时间：2021-05-30 11:13:40
python requests click security-tools lfi-exploitation 毒素 Toxin 是一个 LFI（本地文件包含）/日志污染利用工具。 介绍 Toxin 利用特定（但也是常见）类型的本地文件包含 (LFI) 漏洞，攻击者可以利用该漏洞利用 PHP 的register_globals设置。 在这种攻击场景中，攻击者会制作一个自定义的User-Agent标头，其中包含任意 PHP 代码，这些代码将向环境注册一个新的全局变量，如下所示： <?php system ( $ _GET [ 'cmd' ]); ?> 注册新的恶意全局变量后，我们可以将其添加到 URL 中的查询字符串中，该 URL 包含目标主机上容易被包含的文件，然后使用该文件和查询字符串执行任意系统级命令，像这样： http://target.tld/info.php?page=../../../../../var/log/apache/access.log&cmd=whoami 有许多
【文件预览】：
toxin-main
----.vscode()
--------settings.json(78B)
----LICENSE(16KB)
----setup.py(591B)
----README.md(2KB)
----Pipfile(195B)
----toxin()
--------toxin(2KB)
----.gitignore(1KB)
----_config.yml(28B)