第二阶段 2.2 PHP代码审计之文件上传


一、文件上传原理

将Web木马插入到服务器并且服务器端可以成功解析插入的Web木马何为上传的Web木马被解析:最简单的例子就是目标服务器后端用PHP语言,那么针对上传的文件我们就要利用PHP木马进行上传,且后缀为 .PHP 。
是否存在上传漏洞的前提条件是:
①存在上传点
②上传点的内容可控
③上传的文件可被解析

1.1 文件上传业务流程

通过前端页面上传恶意文件到后端,服务器接收到文件后先将他存储为临时文件,将临时文件移动到信的位置,然后攻击者访问该文件,恶意文件被解析后返回该恶意文件内容。
在这里插入图片描述

1.2文件上传利用条件

①Web站点具有上传功能点
②上传的目标文件可被Web服务器解析
③已知上传的 目标文件路径 以及 文件名
④目标文件可被访问
在某种情况下服务器会对上传的文件进行访问控制,也就是说即使将目标文件上传到服务器也无法对其进行访问,无法进一步利用。

1.3文件上传示例代码

index.html
form 标签中action属性定义在哪个文件实现后端文件上传功能,method属性定义上传方式,enctype属性定义上传类型,如果不写浏览器将根据上传文件,自行判断上传文件类型
input标签type属性定义input标签将内容当做什么类型来处理,name属性定义上传文件名


                
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值