文件上传
文章平均质量分 85
Z3eyOnd
web安全小白
展开
-
文件包含漏洞+php伪协议
文章目录常见的文件包含函数基本绕过:利用php伪协议1.php://input2.php://filter3.data协议4.zip协议5.bzip2://协议6.zlib://协议7. phar://协议8..file协议日志包含介绍利用条件漏洞利用流程日志文件路径远程文件包含条件流程PHPSESSION包含包含/proc/self/environ文件包含临时文件过程包含上传文件绕过类型指定后缀绕过利用长度截断%00截断url指定前缀截断目录遍历编码参考文献常见的文件包含函数php文件包含函数有下面四原创 2021-11-11 21:46:24 · 6422 阅读 · 3 评论 -
suctf-checkin+.user.ini+.htaccess绕过
文章目录前言wp.user.ini绕过.htaccess绕过前言由这个题和MRCTF中的我传你吗这两个题总结.htaccess和.user.ini绕过文件上传wp首先这个题就是用.user.ini或者.htaccess来绕过我们传png文件,看到exif_imagetype:not image!exif_imagetype,就是用来检查图像类型的必须要gif文件,但是我们在文件内容上加个魔法头GIF89a,就可以绕过我们用后缀为.user.ini或者.htaccess,发现只要加个魔法头都原创 2021-10-28 23:59:29 · 251 阅读 · 0 评论 -
文件上传+CTF题目
文章目录概念:文件上传绕过:1.绕过js代码:2.绕过服务端(MIME类型)3.绕过黑名单绕过白名单图片马文件上传后利用蚁剑进行连接后门概念:web客户端在上传文件时,没有对上传文件的内容,扩展名等进行过滤。文件上传绕过:1.绕过js代码:(1)一般的web网页前端在上传文件时,都会利用js代码对文件的扩展名。也就是说,如果对文件的扩展名进行过滤了,可能是js代码的作用了。(2)方法:利用火狐的about:config来禁用js代码执行。先使用可以使用的扩展名进行上传,利用bp抓包,改数据包扩原创 2021-10-27 15:21:45 · 2374 阅读 · 0 评论