文件解析漏洞实况

最新推荐文章于 2024-08-02 19:38:03 发布
最新推荐文章于 2024-08-02 19:38:03 发布
阅读量365 收藏 9
点赞数 5
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ineedmoreMuQ/article/details/140804484
版权

        文件解析漏洞顾名思义,就是文件名被各种方式解析从而使的可以被读取成各种可执行文件从而产生漏洞的漏洞。

        一.IIS解析漏洞

我们首先准备iis环境,这里小编选择了phpstudy for iis或者winserver都可以 ,下载,并配置好后开始实验。

1.1 iis6.x

方式一,目录解析

        在网站下建立文件夹的名字为.asp/.asa 的文件夹,其目录内的任何扩展名的文件都被lS当作asp文件来解析并执行。

这是放在根目录的文件是无法读取的

新建一个asp文件夹

然后访问

这就是目录解析

方式二、畸形文件解析

在I1S 6 处理文件解析时,分号可以起到截断的效果。也就是说 shell.asp;.jpg会被服务器看成是shell.asp。另外1IS6.0默认的可执行文件除了asp还包含 asa\cer\cdx

访问这个文件即可被当成asp文件

1.2、iis7.x

首先需要配置环境

、安装phpstudy for iis

配置 php.ini 文件,将cgi.fix_pathinfo=1 取消前面的分号掉....并重启..

建一个1.jpg在网站根目录

访问网站使用/.php后缀即可访问

nginx漏洞解析

需要搭个靶场

项目地址

git clone GitHub - vulhub/vulhub: Pre-Built Vulnerable Environments Based on Docker-Compose

需要一个安装了docker和docker-compose的linux系统

这里小编在搭建靶场的过程中访问不到docker,于是先去学习docker去了,下次更新有缘再会

apache漏洞解析

ineedmoreMuQ
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
swift-livePhoto-实况图制作demo
03-01
Swift实况图(Live Photo)是iOS平台上的一个特色功能,它允许用户捕获一段短暂的视频片段,并将其与静态照片结合,形成一种动态的视觉体验。在本项目"swift-livePhoto-实况图制作demo"中,我们将深入探讨如何使用...
实况脸型制作
04-11
### 实况脸型制作知识点详解 #### 一、准备工作与工具介绍 在开始实况足球游戏中的脸型制作之前,我们需要准备以下几项基础工作: 1. **安装Photoshop**: - 如果您的电脑上尚未安装Photoshop,请访问Adobe官方...
Websocket解析及实现
weixin_33907511的博客
07-11 451
Websocket是什么? Websocket是一个因为应用场景越来越复杂而提出的,针对浏览器和web服务器之间双向持续通信而设计,而且优雅地兼容HTTP的协议(我猜想:同时因为建立在HTTP上,也可以利用好HTTP原有的基础比如basic认证)。 网络模型结构上来说呢, WebSocket 实际上指的是一种协议,与我们熟知的Http协...
Burp Suite使用介绍(二)
muier的专栏
03-31 4214
Burp Suite使用介绍(二) Repeater Burp Repeater(中继器)是用于手动操作和补发个别HTTP请求,并分析应用程序的响应一个简单的工具。您可以发送一个内部请求从Burp任何地方到Repeater(中继器),修改请求并且发送它。 Using Burp Repeater 您可以使用中继器用于各种目的,如改变参数值来测试输入为基础的漏洞,发
Android 应用和系统优化V1.2
懒人日志
09-15 8229
一年多年写了一篇简单的软件优化教程,给公司的同事使用。现在应该还不算过时,在过去一年里,在国家脱虚向实运动倡导下,一个个高科技企业如雨后春笋般诞生,对软件的优化和重构的需求也越来越多。早期的 android 开发者曾经十分羡慕C文开发者,C的调试工具是如此之多和丰富,内存,堆栈,CPU,GPU,断点,现在android的系统分析和优化工具也相当多,借助系统自带的开发者工具,android系统也变得
2022年江苏省职业院校技能大赛中职赛项规程
旺仔Sec&blog
10-19 5111
切换到phpwamp下寻找php的路径,继续使用findstr来查询前面nmap扫描获取到的PHP关键的版本信息,进入该目录找到php.exe程序,然后执行之前创建的php木马连接,回到msf命令终端,成功回弹了一个目标的shell,查看session,将返回结果中Type的值作为Flag进行提交。通过本竞赛,可检验参赛学生对网络、服务器系统等网络空间中各个信息系统的安全防护能力,以及分析、处理现场问题的能力,培养更多学生掌握网络安全知识与技能,发展成为国家信息安全领域的技术技能人才。
Burp Suite使用介绍
热门推荐
书写人生
05-06 1万+
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。本文主要介绍它的以下特点: 1.Target(目标)——显示目标目录结构的的一个功能 2.Proxy(代理)——拦截HTTP/S的代理服务器,作为一个在浏览...
Burp Suite使用介绍说明
crystal_o的博客
05-21 2502
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。本文主要介绍它的以下特点: 1.Target(目标)——显示目标目录结构的的一个功能 2.Proxy(代理)——拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。 3.Spider(蜘蛛)——应用智能
网络安全考前突击
rigidwill的博客
05-26 898
网络安全 第一节 典型网络安全事件 电信诈骗主要有以下四大类: 1.电话诈骗:电话交易诈骗、电话退税诈骗、电话中奖诈骗、电话冒充政府部门诈骗、电话推销诈骗、电话绑架诈骗、电话勒索诈骗、电话冒充熟人诈骗   2.网络诈骗:网络交易诈骗、网络冒充熟人诈骗、网络投资诈骗、网络中奖诈骗、网络推销诈骗、网络招工诈骗、网络办卡诈骗、网络交友诈骗、网络贷款诈骗   3.短信诈骗:短信贷款诈骗、短信中奖诈骗、短信汇款诈骗、短信交易诈骗、短信银行卡消费诈骗、短信冒充熟人诈骗、短信推销诈骗、短信办卡诈骗、短信退税诈骗   4.
APT攻击基础科普
weixin_30552811的博客
12-21 5416
0x00 APT的历史起源背景 APT这个词汇最早起源于:2005年英国和美国的CERT组织发布了关于有针对性的社交工程电子邮件,放弃特洛伊木马以泄露敏感信息的第一个警告,尽管没有使用“APT”这个名字。但 “先进的持续威胁”一词被广泛引用,2006年的美国空军Greg Rattray上校经常被引用为创造该术语的个人。后来,在Stuxnet震网事件就是专门针对伊朗的核计划的黑客攻击就...
2021-09:Java的框架甲骨文面试题(自己总结的)
鱼皮小刘博客
09-01 4796
前提:在公司呆着不舒服,环境真的还是决定一个人的成长,在金九银十找个好工作吧 一、Java 基础 1.JDK 和 JRE 有什么区别? jdk是java的开发工具包,jre是java运行环境 jdk->jre->jvm 2.== 和 equals 的区别是什么? "=="是判断两个变量或实例是不是指向同一个内存空间。 "equals"是判断两个变量或实例所指向的内存空间的值是不是相同。 3. 两个对象的 hashCode()相同,则 equals()也一定为 true,对吗? 不一定 .
实况8年龄锁定器
07-16
该程序能够读取和修改游戏的数据文件,如`data.bin`,这是《实况足球8》中存储游戏信息的主要文件,包括球员的姓名、属性、年龄等关键数据。 在使用`WE8PlayerAgeLock.exe`时,玩家通常需要先备份原始的游戏文件,...
Python Http请求json解析库用法解析
01-19
解析字节类型的http与https请求数据 :2.支持已k-v形式修改请求数据 :3.支持重新编码请求数据 源码 import json __author = -ling def parser(request_data): # 获取请求的三个段: # 1.请求方法 URI协议 版本 ...
安卓-实况足球-《欧冠主题》-V8.20-晴天补丁.zip
02-03
通过以上解析,我们可以看出这个补丁包旨在为安卓版实况足球游戏带来欧冠主题的全新体验,而安装和使用这个补丁则涉及到一系列技术操作和注意事项。对于热爱实况足球且熟悉安卓系统的玩家来说,这是一个提升游戏乐趣...
鸿蒙系统开发【加解密】安全
2301_76813281的博客
08-02 512
本示例使用cryptoFramework接口的Cipher对象相关方法实现了字符串加解密算法,包括RSA加密算法与AES加密算法。
鸿蒙系统开发【加解密算法库框架】安全
2301_76813281的博客
08-02 489
本示例使用@ohos.security.cryptoFramework相关接口实现了对文本文件的加解密、签名验签操作。
发送邮箱调用接口时需要注意哪些安全事项?
DengHua2203的博客
08-02 268
发送邮箱调用接口时,确保安全性是一个复杂而重要的任务。通过以上措施,可以显著提高接口的安全性。AokSend,发送邮箱调用接口,API与SMTP无缝对接,一键触发,邮件秒达,营销快人一步!
鸿蒙系统开发【ASN.1密文转换】安全
最新发布
2301_76813281的博客
08-02 311
本示例对使用@kit.CryptoArchitectureKit加密后的密文格式进行转换。@kit.CryptoArchitectureKit加密后的密文格式默认为以base64显示的ASN.1格式问题,通过对密文进行base64变换后得到字符数组,以16进制数字显示,再此基础上进行密文格式转换,从ASN.1格式转换为c1c3c2格式的裸密文,再以c1c3c2格式的裸密文进行解密,以验证密文转换的正确性。
代码实现视频转实况图片
06-07
以下是使用Python中的OpenCV库实现视频转实况图片的示例代码: ```python import cv2 # 定义视频文件名 video_file = "example.mp4" # 打开视频文件 cap = cv2.VideoCapture(video_file) # 定义计数器 count = 0 # 循环遍历视频中的每一帧 while cap.isOpened(): # 读取一帧视频 ret, frame = cap.read() if ret: # 将帧保存为图像 cv2.imwrite("frame%d.jpg" % count, frame) count += 1 else: break # 关闭视频文件 cap.release() ``` 在上面的示例代码中,我们首先定义了要处理的视频文件名。然后,我们使用OpenCV库中的`cv2.VideoCapture()`函数打开视频文件,并定义一个计数器来跟踪提取的帧数。接下来,我们使用一个循环来遍历视频中的每一帧,使用`cv2.imwrite()`函数将帧保存为图像。最后,我们使用`cap.release()`函数释放视频文件。执行完这段代码后,提取的帧将保存在当前工作目录中的文件`frame0.jpg`,`frame1.jpg`,`frame2.jpg`等中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值