文件上传+一句话木马(学习笔记)
漏洞描述
文件上传漏洞是指一些web应用程序中允许上传文本或其他指定资源到指定位置,上传漏洞顾名思义,就是攻击者上传了一个可执行文件如木马,病毒,恶意脚本,WebShell等到服务器执行,并最终获得网站控制权限的高危漏洞。(摘自百度搜索)
例如有一个网站会出现以下的操作让其上传文件等,可利用上传文件过滤不严谨来插入木马等。
一句话木马
以PHP举例
<?php @eval($_POST['muma']); ?>eval()函数表示括号内的语句字符串什么的全都当做代码执行。
$_POST[‘muma’]表示从页面中获得muma这个参数值。
实验环境:windows2003,中国菜刀,phpstudy软件
实验过程(这是我个人的理解):
一、首先模拟的是一个有上传漏洞的网站
1.首先在phpstudy下的www下创建一个用于上传文件的网页,模拟有上传漏洞的页面。叫做upload-file.html,页面展示如下以及页面代码(代码摘自一位大佬):
<html>
<head>