文件后缀名添加多个.

最新推荐文章于 2024-05-12 13:32:39 发布
最新推荐文章于 2024-05-12 13:32:39 发布
阅读量1.4k 收藏 3
点赞数 1
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mgxcool/article/details/73028440
版权

假设c盘目录下有一个1.txt文件,在资源管理器中,输入下面的几种路径,最后的效果都是打开1.txt文件:

c:\1.txt

c:\1.txt.

c:\1.txt...

c:\1.txt.. .. .. .

可见操作系统在处理文件名时,会自动过滤掉最后面多余的.与空格。


利用这个特性,攻击者可以逃避一些web针对文件名的过滤检测。假设一个web页面提供上传和下载文件功能,不能下载db文件,不能上传exe文件。如果开发者在获取请求的文件名的后缀名时,只是通过简单的把最后一个.后面的字符串作为文件的后缀名,然后紧紧判断这个后缀名是否在黑名单之内,那么利用上面提到的特性,可以很容易绕过。

如:

下载文件/db/user.db文件,如果输入的请求内容为 /db/user.db.. ...,那么脚本获取到的后缀名为空,不等于“db”,这样就绕过了开发者对文件后缀名的限制。

mgxcool
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache[多后缀文件名解析漏洞+换行解析漏洞+SSI远程命令执行漏洞]复现
weixin_45253622的博客
05-09 8239
一、多后缀文件解析漏洞 Apache的多后缀名特性: 如果一个文件多个后缀名,那么Apache会从后(右)往前(左)辨别后缀。所以攻击者在可以上传文件的地方上传hack.php.xxx的文件,假设网站有对php的后缀进行过滤,但判断是xxx文件,不在黑名单里,安全检查就会放行,然而Apache的多后缀名特性会以倒数第二个后缀".php"为准,把该文件当做是php文件,解析执行。但是需要把 php5.conf文件中的正则表达式的“$”换成".",然后重启。 总结:Apache文件解析漏洞就是由于用户在
Mybatis 之 当文件名中有多个“.”的时候截取文件名和后缀
紫陌520的博客
11-14 419
今天遇到过一个问题,就是上传文件的时候文件名中有 “.” 点这个符号的话,怎么样通过sql去截取文件名和后缀 首先先定义一个函数: declare v_idx integer := 1; v_cnt integer := 0; v_source_txt character varying(2000) := p_source_txt; v_len integer := length(p_co...
怎么统一给文件名加后缀?安利你三个实用方法
最新发布
keji_fenxiang的博客
05-12 1709
因此,在实际的文件管理和操作中,我们应该充分利用文件后缀的优势,遵循规范和标准,使文件管理更加高效和便捷。第四步:左侧面板可以实时预览新文件名,当新文件名达到我们想要的效果后,点击右上角的“开始执行”按钮,软件将自动开始给这些文件添加统一的文字。第二步:在功能详情处点击添加文件把需要添加名字的文件添加到软件中,我们这里支持任意类型的文件,也可以同时添加多个文件,不限制添加的数量。第三步:在右侧选中“插入”按钮,选择我们需要的文件位置,这里选择的是末尾,在插入内容处输入我们想要的文字。
批量加文件格式后缀
tian2342的专栏
07-16 712
setlocal enabledelayedexpansion  for /f "delims=" %%i in ('dir /b') do ren "%%i" "%%i".jpg pause  将上面的内容保存为.cmd文件,放到需要修改的目录下,执行
同时修改多个文件后缀名
maowenge的专栏
04-16 3061
在Windows中,假如一次给一个文件更名很容易,但一次给多个同类文件改名,就有点强人所难了。此时若用DOS模式中的REN命令,则可轻松做到。比如: REN *.txt *.bak,可将扩展名为txt的一类文件改成扩展名为bak文件。 至于具体情况的话: 运行CMD,进入DOS环境, CD 文件夹路径,进入所要修改的目录  使用 REN *.rm *.mp3 回车
怎么给文件名统一加后缀?学会这3个方法就够了
keji_fenxiang的博客
03-20 1658
同时,当我们在处理文件时,如果出现误操作,例如误删除或误移动文件,通过后缀我们可以轻松恢复文件到正确的位置和状态。不到两秒的时间就能把这些图片的名称修改完成,此时我们打开图片所在的文件夹,可以看到每个图片的名称后面都被插入了后缀。步骤2:点击添加按钮,在弹框中选择需要被添加后缀的图片,导入到软件中,这里也支持拖拽的方式添加进去,图片的数量不限。步骤1:把“汇帮批量重命名”软件下载并安装到自己电脑中,打开软件,在软件中选择左侧的“文件重命名”菜单。步骤2:把需要添加后缀的图片导入到界面中。
最强大的批量更名工具。百度云下载后缀名.baiduyun.p.downloading解决办法
12-07
用百度云下载了很多文件后缀名都是.baiduyun.p.downloading怎么办?下载了一堆视频教程或连续剧名字很乱怎么办?想给很多音乐文件批量加专辑和歌手标签怎么办?可以用这个批量更名工具解决。这是一个我见过最强大的...
文件名字批量添加文件名后缀软件助手
04-16
批量更改文件后缀名通常涉及到编程或脚本知识,例如使用批处理(Batch)、Python、PowerShell等语言编写脚本来实现。但这款软件提供了一种无需编程技能的解决方案,使得非技术人员也能轻松操作。用户只需要导入需要...
批量转换文件后缀名应用程序.zip
12-29
《批量转换文件后缀名应用程序:Qt与Visual Studio的完美结合》 在信息化时代,文件管理成为日常工作中不可或缺的一部分,而文件后缀名的转换往往直接影响到文件的使用和处理。"批量转换文件后缀名应用程序"是一款...
PHP实现获取文件后缀名的几种常用方法
10-23
在PHP编程中,获取文件后缀名是一项常见的任务,它对于处理不同类型文件或者根据文件类型进行操作至关重要。这里,我们将详细探讨三种不同的方法来实现这一功能。 ### 方法1:基于字符串操作 ```php function get_...
自主创作的批量文件后缀替换工具v0.0.2.zip
04-02
标题中的“自主创作的批量文件后缀替换工具v0.0.2.zip”表明这是一个自制的软件工具,主要用于批量修改文件后缀名。这个工具适用于Windows操作系统,并且处于早期开发阶段,版本号为v0.0.2,通常这意味着它可能还...
批量修改后缀名添加后缀名
qq_41146515的博客
05-03 7923
1.批量添加(以添加txt为例)新建TXT文件,输入:ren *.* *.txt(ren为修改的意思,*.*当前目录下的所有文件,*.txt为要修改的后缀名)最后把这个 txt文件后缀名修改为bat,执行这个bat文件2.批量修改(以修改为gif 为jpg为例)新建TXT文件,输入:ren *.gif *.jpg(ren和gif后面都有空格)最后把这个 txt文件后缀名修改为bat,执行这个b...
8 shell命令之find
weixin_33957648的博客
01-17 68
find命令,像cd一样经常使用.只是可能大多数时间仅仅要那么一两个參数就足够使用了.或者说,勉强够用了.可是当我们主动的去翻看一下find的手冊,会发现原来更实用的功能都没实用到. 本文结合自己的使用对find进行简单的介绍.不保证全面,仅列出我在使用中受益颇多的选项. find dir [option]  指定当前的一个文件夹进行查找. option能够省略,假设省略的话,fin...
shell-find使用
walxiaosage的博客
09-09 324
功能:在目录结构中搜索文件,并执行指定的操作。此命令提供了相当多的查找条件,功能很强大。  语法:find 起始目录 寻找条件 操作  说明:find命令从指定的起始目录开始,递归地搜索其各个子目录,查找满足寻找条件的文件并对之采取相关的操作。  寻找条件:该命令提供的寻找条件可以是一个用逻辑运算符not、and、or组成的复合条件。逻辑运算符and、or、not的含义为:    (1
删除带“-”的文件名的方法
上善若水 水养金鱼
12-16 1032
1. 删除带“-”的文件名的方法 大部分是由于误操作的原因,产生了一些 特殊字符的文件 如 -foo rm --help 用法:rm [选项]... 目录... Remove (unlink) the FILE(s).   -d, --directory       unlink FILE, even if it is a non-empty directory
使用命令行批量修改、添加后缀
abcdefg123321666的博客
08-28 1055
将其中的F:\public\* 替换成自己的文件路径即可,然后回车,等待即可。
• 用户webadmin,登录ftp服务器,根目录为/webdata/; • 登录后限制在自己的根目录; • 允许WEB管理员上传和下载文件,但是禁止上传后缀名为.doc .docx .xlsx的文件...
05-25
这里使用了花括号来指定多个后缀名,用逗号隔开。 6. 重启vsftpd服务,使配置生效。 现在,用户webadmin可以登录ftp服务器,限制在自己的根目录,允许上传和下载文件,但是禁止上传后缀名为.doc .docx .xlsx的文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值