首页 > Web开发 > 详细

Web for pentester_writeup之File Upload篇

时间:2019-08-08 19:34:30      阅读:133      评论:0      收藏:0      [点我收藏+]

Web for pentester_writeup之File Upload篇

File Upload(文件上传)

Example 1

直接上传一句话木马,使用蚁剑连接

技术分享图片

技术分享图片

技术分享图片

技术分享图片

成功连接,获取网站根目录

技术分享图片

Example 2

技术分享图片

可以看到上传文件做了相关限制,不允许上传PHP文件,

技术分享图片

修改后缀名为linux不识别的xxx,上传

技术分享图片

技术分享图片

技术分享图片

同样成功连接,我们还可以修改后缀名为.php3,有些系统.php4.php5也能成功执行
文件上传绕过方式有很多,包含

  • 前台脚本检测扩展名绕过
  • Content-Type检测文件类型绕过
  • 文件系统00截断绕过
  • 服务器端扩展名检测黑名单绕过
  • JS检测上传文件绕过
  • 重写解析规则绕过
  • 后缀名大小写绕过
  • 双写后缀名绕过
  • 特殊后缀名绕过

大家可以根据实际环境选择其中的一种或者多种方式结合来绕过文件上传限制,这里就不过多阐述。

Web for pentester_writeup之File Upload篇

原文:https://www.cnblogs.com/liliyuanshangcao/p/11322761.html
(0)
(0)
   
举报
评论 一句话评论(0
分享档案
更多>
2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)
最新文章
更多>
教程昨日排行
更多>
友情链接
汇智网   PHP教程   插件网  
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!