任意文件上传漏洞(介绍,工具,危害)

事先明白的知识点：

1. 木马是什么：

简单来说，木马是一个控制程序，木马上传到服务端的时候，会和服务端进行交互，从而达到控制。

2. webshell是什么：

是一个网页后门。包括一句话木马，小马，大马。

特点：基于http协议交互。

1). 一句话木马特点：

                                  代码短，只有一行代码。

                                  使用场景多，可以用于图片也可以单独生成文件。

                                  隐匿性强，可变形免杀。

2). 小马特点：

                                   体积小，功能少，最简洁的情况下，只有文件上传的功能。

3). 大马特点：

                                   体积大，功能全，能对数据库进行数据管理，对站点快速信息收集，甚至能够提权。

---

---

接下来步入正题：

文件上传漏洞介绍(定义)

     在网站上传接口别没有做安全的过滤，用户在上传的时候，会导致黑客恶意上传木马程序，通过这些恶意文件来控制后台。

1 木马程序(webshell)上传的流程

webshell通过web的应用程序进行交互(比如与nginx或apache进行交互)，然后根据服务端的开发语言选择什么样的语言webshell(比如服务端为php语言开发，我们就上传php代码的webshell)。php代码是可以进行操作系统控制的，上传成功被服务端执行，达到交互。

2 访问流程

基于木马程序是根据http协议的特点，这时候我们可以对木马进行访问，比如我们将webshell.php上传到了名为https://www.xue.com的网址上，我们可以输入https://www.xue.com/webshell.php？cmd=ls 进行控制。

 文件漏洞上传的发现与利用：

文件上传漏洞的危害：

1挂黑链：

2 挖矿：会导致cpu打满，越来越卡。

3文件泄露：信息泄露是非常危险的

后续会讲到：(更新中)

文件上传漏洞靶场的安装：

文件上传漏洞工具的安装与使用：

文件上传漏洞靶场的练习：