文件上传与解析

已于 2022-02-23 16:32:23 修改
阅读量843 收藏 2
点赞数
文章标签: web安全 文件上传与解析
于 2022-02-22 21:01:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_l123/article/details/123075353
版权

1.客户端检测与绕过之删除浏览器事件

调用 checkFile()函数,使其只能上传图片格式,将红框内删除即可

2. 客户端检测与绕过之抓包修改后缀名

将上传的文件末尾加上 .jpg ,开启Burspsuite抓包,抓到包之后,将 .jpg 删除,放行包即可

3.后缀名检测与绕过之大小写绕过

将脚本文件1.php更改为1.Php即可

4. 后缀名检测与绕过之名单列表绕过

 将脚本文件1.php更改为1.php3或者1.phtml,再次选择脚本文件

5.后缀名检测与绕过之Windows特性(末尾的点【.】)绕过

开启Burspsuite抓包,抓到包之后,在1.php后添加 . ,放行包即可

 6.后缀名检测与绕过之Windows特性(空格【】)绕过

开启Burspsuite抓包,抓到包之后,在1.php后添加空格,放行包即可

7. 后缀名检测与绕过之Windows特性(::$DATA)绕过

开启Burspsuite抓包,抓到包之后,在1.php后添加::$DATA,放行包即可

 8.后缀名检测与绕过之.htaccess文件攻击

新建.htaccess文件 

当.htaccess文件内容如下,会将内容符合 php语法规则的文件当作 php文件解析

SetHandler application/x-httpd-php

先上传.htaccess文件,再上传将1.php修改为1.jpg的文件

9.MIME类型检测与绕过

Mime-Typeapplication/x-javascripttext/htmlimage/jpegimage/pngapplication/pdf
文件扩展名.js.html.jpg.png.pdf

将 application/octer-stream修改为image/jpeg,放行包即可

10.文件内容检测与绕过之文件幻数

添加文件头(比如GIF文件头)

 11.文件内容检测与绕过之图片马

将1.php文件与图片2.jpg放进同一个文件夹内,在该目录下cmd

这句命令有很强的顺序规范性,否则执行不成功,必须要注意以下两点:

1.图片文件名称一定要先敲,代码文件名称一定要放后面

2.图片文件名称一定接“/b”,“/b”代表这是一个二进制文件

将生成的3.jpg上传即可

12.基于POST方式的00截断绕过

上传1.php文件,并用Burpsuite抓包

按图修改后,放行包即可

13.基于GET方式的00截断绕过

将1.php修改为1.jpg,上传,抓包

 在save_path=../upload/后添加 1.php%00 ,放行包即可

Z_l123
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
上传解析excel文件
10-19
基于ssh框架上传解析excel文件全过程
文件上传解析的理解
Howie Lee的博客
03-19 2678
jsp核心代码:<body> <form name="frm_test" action="${pageContext.request.contextPath }/upload" method="post" enctype="multipart/form-data"> 用户名:<input type="text" name="userName"> <br/>
文件上传:从概念到实践的全方位解析
最新发布
A526847的博客
04-28 445
应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率,比如社交网站中,允许用户上传图片、视频、头像和许多其他类型的文件。应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中,获取网站的权限,或者进一步危害服务器。上传文件时,如果服务器代码未对客户端上传的文件进行严格的验证和过滤,就容易造成可以上传任意文件的情况,包括上传脚本文件。脚本具有强大的功能,比如查看服务器目录,服务器中的文件,执行系统命令等。地址的用户、禁止目录列表,以及使用其他文件作为。
上传文件在浏览器端进行解析并使用
小僵尸打字员的博客
02-28 1472
因为工作需要所以要在支持本地上传文件并对文件进行解析和存放,所以用了H5的FileReader接口,超赞,很好用,发一下我参考的博客文档,写的很详细,直接就可以用,支持4种形式的读取操作 http://blog.csdn.net/zk437092645/article/details/8745647/...
Java后端:Excel文件上传解析数据到数据库
SUMMERENT的博客
03-03 5221
以学生表为例:解析Excel表中Name、Age的值保存到数据库。
文件上传解析漏洞
Cou1d的博客
03-05 122
文件上传 漏洞银行 介绍: 由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上传任意PHP/ASP/JSP文件,并能够将这些文件传递给PHP/ASP/JSP解释器,就可以在远程服务器上执行任意脚本。 存在原因: 传文件的时候,如果服务器脚本语言,未对上传的文件进行严格的验证和过滤,就容易造成上传任意文件,包括上传脚本文件。 如果...
Spring Boot 文件上传原理解析
08-27
Spring Boot 文件上传原理其实就是Spring MVC,因为这部分工作是Spring MVC做的而不是Spring Boot,那么,SpringMVC又是怎么处理文件上传这个过程的呢?下面通过本文给大家详细介绍下,一起看看吧
springboot实现文件上传步骤解析
08-25
主要介绍了springboot实现文件上传步骤解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
文件上传Excel解析相关的jar
09-12
本资源对应我的一片文章《基于Java语言SpringMVC框架的Excel上传解析以及下载教程》提供的jar依据,其中内容仅供参考,建议阅读那篇文章
Python接口测试文件上传实例解析
09-16
主要介绍了Python接口测试文件上传实例解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Springboot实现多文件上传代码解析
08-19
主要介绍了Springboot实现多文件上传代码解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
文件上传到服务器再解析
zhangxiang_1102的博客
11-21 1792
分享一下文件上传到服务器再解析的经验: 以前做页面,也用到了文件上传,但都是用jquery 插件去做,没有自己亲手用jquery ajax 做过,所以对其中的原理也自然不求甚解。先给出代码: let sendData = new FormData(); sendData.append(‘startTime’, startTime); sendData.append(‘
文件上传与文件解析
Shanfenglan's blog
04-06 2620
文章目录1. IIS解析漏洞2. Apache解析漏洞参考文章 1. IIS解析漏洞 IIS6.0在解析文件时有以下两个漏洞(微软不认为这是一个漏洞,所以并没有IIS6.0的补丁) 当建立*.asa、.asp格式的文件夹时,其目录下的任何文件都将被当做asp脚本执行 当文件为.asp;1.jpg,IIS6.0同样会以ASP脚本来执 2. Apache解析漏洞 在Apache 1.x和Apache 2.x中存在解析漏洞 ,Apache在解析文件时有一个原则:当碰到不认识的扩展名时,将会从后向前解析,直到碰到认
文件上传漏洞常见客户端与服务端检测绕过
bwxzdjn的博客
04-23 4037
客户端和服务端的文件上传的检测和绕过方法,通过一些实验案例了解文件上传漏洞的危害和一些常见类型,理解文件上传的利用条件。
文件上传到后台并解析
qq_39990827的博客
10-15 512
https://www.cnblogs.com/chenlongsheng/p/11051199.html
文件上传解析Excel:fileupload+poi
Zsysu_it的博客
01-16 5939
一:介绍 前端:文件上传原理便是数据的提交,比如Form表单提交、Ajax提交、Ajax提交Form表单等,有多种组合方式,根据需求 不同,使用不同的提交方式,但是原理相同。 后端:接收前端发送的数据(File),解析文件(本文为Excel),解析Excel有多种方式,如poi,还有网上的js-xlsx-master相关js,后者为一个开源项目实例,本文没有使用。 基本原理:读取Excel...
Excel文件上传解析入库——通用方法(未处理获取合并单元格的值)
yywdys的博客
09-29 1774
Excel文件上传需要的配置见另一篇博客 https://blog.csdn.net/yywdys/article/details/79490992 Excel文件上传解析的工具类ExcelUploadUtil.java package com.example.demo.controller; import lombok.extern.slf4j.Slf4j; import org.ap...
java实现excel文件上传解析内容保存到数据库中
热门推荐
无道的博客
11-13 1万+
基于struts框架的web项目中excel文件的上传导入到数据库中的java代码 原理:将要上传的文件已流的形式传到服务器,服务器中接收到文件数据流并生成文件到服务器指定位置,java解析服务器生成的excel文件,将文件中的内容解析到数据库,完成导入保存操作。然后可以根据需要是否将文件删除。 准备:apache下面的commons-fileupload.jar、common
上传文件夹并解析
smile radiantly
10-28 506
工作中需要前端上传文件夹,并解析文件夹,查找指定文件。在此记录以便后续查看。 上传文件夹input标签中需要指定webkitdirectory html: <form class="form-horizontal" id="folder_form" action="/folderUpload" method="post" enctype="multipart/form-data">...
springboot 上传文件解析入库
08-16
在Spring Boot中,处理文件上传解析入库的过程可以通过以下步骤实现: 1. 首先,你可以在Spring Boot项目中创建一个Controller类,并使用`@PostMapping`注解将一个URL映射到该方法上,以接收上传文件的请求。 2....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值