zoukankan      html  css  js  c++  java
  • 文件上传漏洞详解

    题记

            今天重温了钟扬老师的纪录片,很感动,他是一个典型的理想主义者,他的精神将会得到传承,我们也应该播种未来。

    一、上传检测流程

    二、客户端检测绕过

    1、绕过一

    直接删除限制上传的代码

    2、绕过二

          直接抓包改包,直接绕过前端限制。

    3、APP抓包

    三、服务器端检测绕过

    1、MIME类型检测绕过

          MIME是上传文件时候请求头自动识别的上传文件类型,可修改MIME内容进行绕过。

    2、文件内容检测绕过

           在木马前面添加合法的文件头进行绕过,此方法针对只检测文件特征头的。例如:

    3、完整文件结构检测

          把木马和图片结合起来。例如把gif与php结合为一个php文件,可绕过检测因为它的结构有了。

    4、恶意文件内容检测

    四、文件上传小技巧

    注意:就是在正常文件后面拼接另一个拓展名文件

          此方法应用于上传的文件那个目录自己无法访问

    五、常见解析漏洞

    六、文件上传高级利用

    就是把压缩包里边的文件名改成../xxx.php

    Kali里面输入后边的两条命令

  • 相关阅读:
    Http协议状态码总结
    ES6中的let和const
    Swiper-轮播图
    HTML5动画API—— requestAnimationFrame
    神奇的 conic-gradient 圆锥渐变
    最流行的5个前端框架对比
    jQuery适用技巧笔记整合
    PHP中的面向对象OOP中的魔术方法
    居中
    (function($){})(jQuery)
  • 原文地址:https://www.cnblogs.com/sunny11/p/13608289.html
Copyright © 2011-2022 走看看