利用文件上传木马病毒获取权限

最新推荐文章于 2024-07-16 15:11:55 发布
最新推荐文章于 2024-07-16 15:11:55 发布
阅读量288 收藏 9
点赞数 5
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78859499/article/details/138190835
版权

这次我们来进行利用文件上传木马获取控制权

我们所需要到的工具有xampp安装、antsword工具、Burpsuit工具、靶场

本实验仅仅是学习上使用,不支持和用于实际攻击上,任何利用教学来进行非法行为概不负责

如果有需要到靶场的教程的话可以回到我上一期发布的里面看教程。

首先,我们先创建一个文本文档,名字自拟

接着打开,我们在里面输入如下图中的代码(其实这个是一个病毒木马,在主机上创建的话需要关闭防火墙)

!!!

里面的selna是作为后期的中国蚁剑登入密码,不要忘记

!!!

保存关闭,接着打开文件夹,点击查看,勾选如下图

当我们打开了文件扩展名,我们就回去把文本文档的后缀名删掉,改成如图

接着我们来到虚拟机,打开xampp先。

启动靶场,设置难度为中等

上传病毒

点击upload执行

这里有时候有些其他人的做法是可以行得通的,我是不行。

如果跟我一样的话,就这样去改

回到我们的php那里,修改后缀名为jpg

再次上传

得到如下,由于先前我没有准备图片上传,所以这没有图片

接着我们需要打开火狐浏览器

打开浏览器,设置,最下面网络设置,写入如下图

安装完成Burpsuit工具(有机会再发教程)

打开代理,选项,如图

点击编辑,修改端口8081

点击截断,点击这个成如下图

接着我们打开cmd,输入这个代码

在这提醒一句,[1.jpg/b]中的1是名字,以及selna、picLubr也是,仅仅这几个是跟回你东西的名字,其他不要改。

以及1是一张图片,你自己的,selna还是我们的病毒,再接着后面的picLubr就是合成图片的名字

开放通行(口误)

再回到服务器那上传(火狐浏览器打开)

回去burp那,把1.jpg的jpg修改为php

如上图

回到火狐浏览器看到这个

打开中国蚁剑,添加

输入网址

http://192.168.222.128/dvwa/vulnerabilities/upload//hackable/uploads/1.jpg

貌似有打错字,所以要根据服务器给出的地址去复制,避免出错

密码就是最开始病毒文件里面的名字,最开始有讲

回到火狐浏览器,输入创建新界面,输入地址结尾jpg

得到如上图

再接着修改结尾php

到此为止基本结束了。

本次实验多少有点小问题,会在后面的一些burp和中国蚁剑安装教程里讲一下

一只常羽
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
利用一句话木马获取网站web权限
weixin_50644728的博客
09-14 3108
1.登录网站后台,寻找文件上传地方 进入网站管理后台并登录管理员帐户和密码,寻找文件上传点。此网站有多个可上传文件的地方,在这我们选择附件管理页面中的上传附件。 2.写文件
文件上传漏洞(一)
黑战士的博客
07-15 1400
文件上传是Web应用的必备功能之一,比如上传头像显示个性化、上传附件共享文件、上传脚本更新网站。如果服务器配置不当或者没有进行足够的过滤,Web用户就可以上传任意文件,包括恶意脚本文件、exe程序等,这就造成了文件上传漏洞。...
web安全文件上传漏洞攻击与防范方法
热门推荐
u014609111的博客
09-29 5万+
一、 文件上传漏洞与WebShell的关系 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,部分文件上传漏洞利用技术门槛非常的低,对于攻击者来说很容易实施。 文件上传漏洞本身就是一个危害巨大的漏洞,WebShell更是将这种漏洞利用无限扩大。大多数的上传漏洞利用后攻击者都会留下
怎样才能判断出用户上传的文件中没有包含木马以及恶意病毒之类
zgqtxwd的专栏
04-24 608
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
文件上传漏洞及常见的利用方式
易编橙 · 终身成长社群,相遇已是上上签!
01-08 6101
文章目录概述“文件上传漏洞与“WebShell”文件上传漏洞的原理“文件上传漏洞”被利用植入“WebShell”后的常见安全问题:上传检测流程概述上传服务器文件命名规则常见的检测方式“文件上传漏洞”-本地验证检测绕过客户端本地JS绕过(Javascript检测)客户端白名单绕过“文件上传漏洞”-服务端检测绕过服务端检测绕过(MIME类型检测)服务端目录路经检测filepath路经修改绕过服务端文件扩展名检测黑名单检测如何绕过黑名单白名单册检测如何绕过白名单服务端文件内容检测绕过绕过文件头检测文件相关信息检
网络安全筑基篇——文件上传
weixin_55762309的博客
06-18 1704
文件上传漏洞是指在Web应用程序中,攻击者可以利用漏洞绕过应用程序的文件上传验证机制,将恶意文件上传服务器上的漏洞文件上传漏洞通常是由于服务器端没有正确实施文件上传安全措施造成的。常见的原因包括缺乏文件类型检查、缺乏文件大小限制、不正确的文件扩展名验证、不正确的目录权限设置等。攻击者可以通过绕过这些不足之处来上传恶意文件。
Web安全 文件上传漏洞的 测试和利用.(上传一个图片或文件 拿下服务器最高权限.)
网络安全领域___专研者.
03-09 5530
文件上传漏洞的 概括: 现在大多的网站和Web应用系统都会有上传功能(比如:文档,图片,头像,视频上传等.),而程序员在开发文件上传功能时,没有对代码做严格校验上传文件的后缀和文件类型. 此时攻击者就可以上传一个与网站脚本语言相对应的恶意代码动态脚本,例如(php,jsp、aspx,asp文件后缀)到服务器上,并将恶意文件传递给网站脚本语言去执行,然后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作.
15文件上传漏洞原理与实战.zip
06-26
然而,如果开发者在设计文件上传功能时没有对上传的文件类型和内容进行严格的验证和过滤,攻击者就有可能利用这个漏洞上传恶意文件,比如病毒、木马或脚本文件。一旦恶意文件被上传并执行,攻击者可以控制服务器、...
基于PHP文件上传漏洞防范策略研究.pdf
01-06
文件上传漏洞是指程序员在 WEB 应用中利用客户端上传功能控制、检测、处理的不足,通过向 WEB 服务器上传特定的可执行文件(如木马、Web⁃Shell、病毒、恶意脚本等)以达到获取关键数据操控主机的目的。文件上传漏洞...
ZipCreater主要应用于跨目录的文件上传漏洞利用,它能够快速进行压缩包生成.zip
02-09
4. **利用策略**:攻击者可能会使用ZipCreater创建包含恶意代码的ZIP文件,然后利用文件上传漏洞将其上传到服务器的特定位置,通过触发执行来达成攻击目的。 5. **安全措施**:为了避免此类漏洞,开发者应确保对...
ASP源码—风铃ASP文件共享系统(多文件上传) v1.5.zip
10-21
【ASP技术介绍】 ASP(Active Server Pages)...理解ASP的基础知识、文件上传技术、系统版本管理和安全策略,将有助于更好地利用和改进这个系统。同时,与数据库的交互也是系统核心部分,需确保数据的安全性和高效性。
ajax上传附件到服务器
11-08
4. 文件类型检查:只允许特定类型的文件上传,防止恶意文件如病毒、木马的上传。 5. 权限管理:确保只有授权用户才能上传文件,控制文件访问权限。 四、性能优化 1. 进度条显示:利用ProgressEvent监听文件上传...
浅谈权限获取方法之文件上传
顶峰
02-27 416
文件上传漏洞
文件上传漏洞详解
金色%夕阳的博客
08-14 1万+
文件上传漏洞详解 什么是文件上传 什么是文件上传漏洞 文件上传漏洞的原理 文件上传漏洞需满足的条件 文件上传漏洞产生的原因 上传漏洞绕过 1.客服端绕过 2.服务端绕过 3.白名单绕过 文件上传的防御方式 1.客户端(前端js检测) 2.服务端(后端PHP过滤)...
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
最新发布
haiyunan的博客
07-16 546
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
文件上传漏洞原理与利用
05-18
利用文件上传漏洞的步骤如下: 1. 打开应用程序的文件上传功能,上传恶意文件或脚本文件; 2. 利用上传的文件执行恶意代码,如WebShell、木马程序等; 3. 获取服务器权限或者窃取敏感信息。 为了防止文件上传漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值