文件上传漏洞的相关讲解基于upload-labs靶场,搭建教程见
文件上传漏洞靶机搭建教程
前端JS绕过
浏览器访问http://127.0.0.1/Pass-01/index.php进入靶机pass01
漏洞练习页面:
webshell:就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于
网站管理
、服务器管理
、权限管理
等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的。
解决方法
发现pass01就是典型的前端JS进行的文件检校,所以针对前端的JS绕过方式有二种:
方法一
直接在浏览器中禁用JS脚本,让JS脚本不发挥作用