文件上传

于 2023-07-27 14:31:35 发布
阅读量388 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73722777/article/details/131926330
版权

js绕过

打开网页尝试上传一句话木马,发现只能上传图片文件

审计源代码,发现使用一个checkfile函数js对文件类型进行了屏蔽

 于是我们修改网页代码,去除返回值的检查函数  checkFile()

 

 上传成功,使用蚁剑连接

连接成功

 

.htaccess绕过

打开网页尝试上传一句话木马,发现php文件被加入黑名单

于是我们尝试上传。htaccess配置文件尝试修改网页配置

<FilesMatch "jpg">
    SetHandler application/x-httpd-php
</FilesMatch>

 这个配置文件的效果是将所有传上来的jpg文件当作php文件进行解析

 

上传后发现上传成功,将一句话木马改后缀为jpg再次上传,使用蚁剑连接

连接成功

00截断

这一关是后端黑名单,同时过滤了.htaccess和.ini还有大小写。但是我们可以在后面加上%001.jpg使其只能识别到后面的文件名从而绕过拦截

 于是我们上传php文件后抓包修改后缀名

发现成功上传

 

上传成功,尝试用蚁剑连接

上传成功

双写绕过

这一关黑名单,使用str_ireplace()函数寻找文件名中存在的黑名单字符串,将它替换成空(即将它删掉),可以使用双写绕过黑名单

 于是我们上传一句话木马

 

 

 上传成功,尝试用蚁剑连接

连接成功

 

 

lemofox
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端-文件上传
GTbond的博客
01-06 7077
文件上传 1. vue+element 文件上传 <el-upload class="upload-demo" //必选参数,上传的地址 action="https://jsonplaceholder.typicode.com/posts/" //是否支持多选文件 multiple //最大允许上传个数 :limit="3" //覆盖默认的上传行为,可以自定义上传的实现 :http-request="uploadFn" > <el-butt
探索Gin框架:Golang使用Gin完成文件上传
热门推荐
qq_35716689的博客
02-02 27万+
Go标准库net/http对文件上传已经提供了非常完善的支持,Gin框架在其基础做了封装,使用更加简单便捷。作者:鼠鼠我捏,要死了捏
文件上传漏洞详解
金色%夕阳的博客
08-14 1万+
文件上传漏洞详解 什么是文件上传 什么是文件上传漏洞 文件上传漏洞的原理 文件上传漏洞需满足的条件 文件上传漏洞产生的原因 上传漏洞绕过 1.客服端绕过 2.服务端绕过 3.白名单绕过 文件上传的防御方式 1.客户端(前端js检测) 2.服务端(后端PHP过滤)...
ruoyi实现大文件上传
最新发布
04-24
ruoyi实现大文件上传
PHP文件上传
09-16
为了简化这个过程,开发者通常会编写一个专门的文件上传类,以实现对上传过程的全面控制和错误处理。以下是对"PHP文件上传类"的详细解析: 1. **类的结构**: - 一个PHP文件上传类通常包含一系列的方法,如`upload...
JavaWeb文件上传开发实例
09-01
主要为大家详细介绍了JavaWeb文件上传开发实例,如何进行文件上传操作,感兴趣的小伙伴们可以参考一下
java图形化实现文件上传
09-25
利用java图形化界面和网络编程相结合实现的--文件上传。 运行步骤: (1)分别运行工程两个包中的两个.java文件(UploadClient.java和UploadServer.java)分别会弹出“上传客服端”和“上传服务器”两个窗口。 ...
uploadFile文件上传
08-23
"uploadFile文件上传" 描述的可能是一个专用于处理文件上传的插件或组件,它简化了开发人员在应用程序中集成文件上传功能的过程。下面,我们将深入探讨文件上传的相关知识点。 1. 文件上传原理:文件上传通常涉及到...
前后端分离实现同步/异步文件上传
08-02
后端:springbbot 前端:vue+elementUI+axios 前后端分离方式 分别尝试同步异步两种方法进行文件上传 1
QFtp实现批量文件上传
06-22
示例包含了FTP登录,为方便演示,...Demo功能包括:选择文件夹进行批量上传文件,列举FTP服务器上的所有文件,以及文件实时上传进度 这几个重要功能。其实QFTP还提供了很多其他接口,用法都是差不多的,可以举一反三。
文件上传插件
01-30
文件上传插件是一种用于网页应用中的组件,它允许用户通过拖放或选择多个文件的方式将数据上传到服务器。在现代互联网应用中,文件上传功能是不可或缺的,尤其在内容创作、文档分享、云端存储等领域。这类插件通常...
vue+springboot 大文件上传
01-23
在现代Web应用中,大文件上传是一个常见的需求,特别是在数据密集型或媒体丰富的环境中。`Vue.js` 和 `SpringBoot` 是两个强大的技术框架,分别用于前端和后端开发。本教程将详细介绍如何利用这两者来实现高效的大...
java Springboot实现多文件上传功能
08-27
Java Springboot 实现多文件上传功能 Java Springboot 实现多文件上传功能是当前 Web 开发中非常重要的一个功能,涉及到文件上传、文件管理、数据存储等多个方面。今天,我们将详细介绍如何使用 Java Springboot ...
NetCore 3.0文件上传和大文件上传的限制详解
01-02
NetCore文件上传两种方式  NetCore官方给出的两种文件上传方式分别为“缓冲”、“流式”。我简单的说说两种的区别,  1.缓冲:通过模型绑定先把整个文件保存到内存,然后我们通过IFormFile得到stream,优点是效率...
Asp.Net超大文件上传问题解决
01-21
于是就下载下来看了看,果然效果不错,不但支持吵过700M的文件上传快速,更重要的是支持多线程的上传文件。查看源代码发现利用的控件也是fileupload的控件,但是处理的过程调用的是RadUpload.Net2.dll处理的。上传后...
C#webapi文件上传下载源码
04-08
在这个场景下,"C# WebAPI文件上传下载源码"指的是使用C#编写的一套实现文件上传和下载功能的WebAPI服务代码。 文件上传功能是Web应用中的常见需求,允许用户将本地文件传输到服务器。在C# WebAPI中,这通常通过...
ntko大文件上传
12-07
文件上传demo,注意需要联网使用,在这个demo中,先给数据库插入文件的基本信息和临时文件名称,再读取文件,建立临时文件夹,将文件存到临时文件中,最后当文件上传完成后,会修改数据库的临时文件名称,删除磁盘...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值