上传绕过各种姿势(未完待续……)

最新推荐文章于 2024-05-13 21:19:30 发布
最新推荐文章于 2024-05-13 21:19:30 发布
阅读量3.9k 收藏 6
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38680693/article/details/81700378
版权

之前做过的一个比较简单的文件上传,上传图片木马后,直接bp改包,利用%00截断改后缀就可以得到flag。

00截断题目:http://ctf5.shiyanbar.com/web/upload/

00截断wp:https://blog.csdn.net/wy_97/article/details/76549405

今天遇到了一个需要绕过技巧的文件上传,所以,简单学习记录一下。

题目来自于bugku   http://120.24.86.145:8002/web9/

解决思路:首先上传一个图片木马,bp抓包后,需要修改两处:

分别对上述两处更改做一下解释:

  • 小写改为大写:类型检测大小写绕过

当时做题的时候有两个地方不是很清楚,1、为什么要把小写改成大写。2、为什么会出现两个content-type,这两个又有什么区别

1、后来经大佬提点,可能是服务器端验证,也就是代码校验,很多带waf的网站,在进行文件上传的时候。改了大小写以后就可以进去,有

最低0.47元/天 解锁文章
A_Tong_Mu_1
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
上传漏洞-绕过上传
HacHunter的博客
04-02 4866
绕过内容检查实现文件上传 文件上传漏洞简介 通常web站点会有用户注册功能,而当用户登录之后大多数情况下会存在类似头像上传、附件上传之类的功能,这些功能点往往存在上传验证方式不严格的安全缺陷,导致攻击者通过各种手段绕过验证,上传非法文件,这是在web渗透中非常关键的突破口。 文件上传漏洞危害 攻击者绕过上传验证机制上传恶意文件,通过上传的web后门获得整个web业务的控制权,复杂一点的情况是结合web服务器的解析漏洞来获取权限。 文件上传检测流程 通常一个文件以HTTP协议进行上传时,将以POS
上传绕过
a674212706的博客
05-17 100
首先找到这个熟悉的界面 点击确定的时候抓包, 这时候虽然我们并未提交,但是刚才上传的一句话木马其实已经传到服务器里了 Response返回包里查看 转载于:https://www.cnblogs.com/unixcs/p/10882042.html...
文件上传绕过方法总结(入门必看)
qq_65165505的博客
05-13 1658
常见文件上传绕过方法的总结
文件上传绕过方法
qq_47177909的博客
10-22 3453
简介 文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。 这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。 这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。 常用的文件上传手段 案例 环境下载链接:https://pan.baidu.com/s/1PhCS78Nu_ZKrlnNMBxERaQ 提取码:wjsc 1、通过禁用js绕过检查,进行文
linux服务器性能调优文档(未完待续
07-23
教程名称:linux服务器性能调优文档(未完待续)课程目录:linux服务器性能调优01linux服务器性能调优02linux服务器性能调优03linux服务器性能调优04linux服务器性能调优05linux服务器性能调优06linux服务器性能调优07...
2015年高中语文优秀作文青春未完待续…素材
08-06
10. 青春的延续:尽管青春已逝,但它的精神和影响却可以"未完待续",持续影响着我们的生活和决策。 总结,本文通过对青春的描绘,探讨了时间、成长、分别、记忆、诺言等主题,展现了青春的美好、脆弱和短暂,同时也...
9--[小黑点的旅行(未完待续)].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码
04-16
9--[小黑点的旅行(未完待续)].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码9--[小黑点的旅行(未完待续)].zip源码scratch2.0 3.0编程项目源文件源码案例素材源代码9--[小黑点的旅行(未完待续)].zip...
大数据实战第一部分(未完待续
12-19
在大数据实战第一部分中,我们将探索大数据处理的关键概念和技术,这些技术在当今信息化社会中扮演着至关重要的角色。...通过这个未完待续的大数据实战项目,你将深入理解大数据处理的全貌,并获得宝贵的实践经验。
前端经验,遇到的各种问题总结,未完待续
01-09
小白必看;前端一年工作经验,遇到的各种问题总结, 未完待续
scratch2源码小黑点的旅行(未完待续)
最新发布
05-30
scratch2源码小黑点的旅行(未完待续)提取方式是百度网盘分享地址
DHCPv6 学习笔记--未完待续
05-05
图还没剪切完呢,凑合看吧!嘿嘿!!!由于时间紧任务重,大家都讲究看吧
quasar_clone:未完待续
03-17
Matthias Mann的续集库,为 。 原始文档如下。马蒂亚斯·曼(Matthias Mann)的续集图书馆这个小的库允许您以一种简单的顺序方式来编写游戏AI或动画代码,从而阻塞诸如walkTo()类的命令,而所有这些都不会阻塞您的AI...
远程办公的复盘 未完待续
01-07
文章目录背景在家办公面临的问题在家办公的优点在家办公的缺点建议 背景 新型冠状病毒的爆发让许多企业措不及防,许多互联网公司不得不开始在家云办公。当然这也许是好多 Coder 一直期盼的事,大家也开始躺着挣钱. ...
供热工程设计说明文书未完待续.doc
10-10
供热工程设计说明文书未完待续.doc
文件上传绕过总结
weixin_50464560的博客
08-06 825
上传绕过总结对于常见的上传绕过姿势进行总结。包含WAF绕过、安全狗绕过、黑名单绕过、白名单绕过、阿里云绕过以及多种绕过手法。WAF绕过安全狗绕过1.绕过思路:对文件的内容,数据。数据包进行处理。关键点在这里Content-Disposition: form-data; name="file"; filename="ian.php" 将form-data; 修改为~form-data;2.通过替换大小写来进行绕过Content-Disposition: form-data; name="
渗透系列之文件上传绕过案例
Websec
12-02 475
1、正常通过对某个后台系统做暴力破解,获取了一个弱口令账户,进入系统当中。 2、然后进入后台页面的个人中心,找到头像上传的功能,使用burpsuite进行抓包,正常不能上传jsp木马到系统当中,我测试发现,只要上传文件添加图片文件的特征即可。 3、上传成功,拼接木马地址,获取webshell。 ...
文件上传小结——文件上传漏洞、文件上传校验姿势、文件上传绕过、文件包含漏洞、服务器解析漏洞……
7Riven's blog
12-02 645
文件上传:文件上传可以与文件包含相结合 1.文件上传漏洞: 文件上传漏洞需要的前提条件: 能上传木马 上传的木马能执行 还要清楚上传后的路径 一句话木马:<?php @eval($_POST[cmd]);?> eval 执行命令函数 思路: 编写一个一句话木马<?php?> 上传一句话木马 上菜刀 图片马制作: 找个图片,用记事本打开,添加一句话 ...
PMP (1) (2).doc
06-12
它提供了项目管理的最佳实践、流程和工具,帮助项目经理和团队有效地管理各种类型的项目。 PMBOK第六版是PMBOK指南的最新版本,它对之前版本进行了更新和完善。第六版的核心内容包括以下几个方面: 1. 引论:介绍...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值