目录
文件上传漏洞简介
文件上传漏洞就是利用某些代码缺陷来上传恶意木马等恶意文件到服务器进行资源获取或者控制
攻击者主要对文件上传漏洞的主要方式是:
- 前端JS过滤绕过
- 文件名过滤绕过
- Content-Type恶意绕过
等等
上传漏洞类型
前端JS绕过
前端JS代码漏洞绕过的原理是:应用程序是在前端通过JS代码进行验证的,而并不是在后端进行验证,绕过前端的JS验证可以有效利用文件上传漏洞,进行木马的上传
构建环境
文件上传HTML界面:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>JS 文件绕过</title>
</head>
<body>
<form action="upload.php" enctype="multipart/form-data" method="post" name="upload" onsubmit="return checkfile();">
<input type="hidden" name="MAX_FILE_SIZE" value="2044444">
<br />