文件上传(xss)

我们平时在拿webshell的时候

最为常见的就是找到上传点进行文件上传 一句话木马或者说是用图片马

然后用websell管理工具进行连接(菜刀,蚁剑等等)

当然拿webshell的方式方法有许多

我这里以文件上传为例,好吧

 

通常一般的网站,都是以白名单,因为白名单比黑名单更加安全。这是肯定的。但是不乏有以黑名单的网站

这个不是绝对的,这是相对的

在目标网站后台文件上传点,假如说是以黑名单的方式

除了我们知道的绕过方式

像前端进行校验,我们通过burp进行抓包改后缀名.还可以通过文件类型绕过,.htaccess文件绕过,大小写绕过,文件后缀(空)绕过,文件后缀(点)绕过,::$DATA(Windows文件流绕过,构造文件后缀绕过(. .),双写绕过等等骚操作

假如说这些没办法了,我们还可以干嘛呢

我们在上传是不是可以弄个.HTML文件试试呢

在HTML里写入xss语句

会不会有弹窗呢,渗透测试本身就是尝试,对吧(只要成功解析了)

我们在HTML里面写上恶意的XSS攻击代码,那么是不是就可以进行攻击了呢

下面我来做演示

  1. 我们在编辑器写入xss代码

     

 

  1. 然后我们把后缀修改成.HTML

     

 

在上传处进行一个上传的操作

 

上传后 我们复制图片地址

然后进行一个访问

 

然后这里是不是成功进行了弹窗

成功执行了XSS代码

 

以上是说测试的一个思路,好吧。这个不是绝对的东西,有没有用 ,在实际测试中进行一个尝试就对了

不喜欢勿喷,谢谢

我也只是一个新手,感谢

后面的攻击思路 就要利用xss炮台之类的去进行诱惑管理员或者用户点击拿到cookie等进后台等等(思路有很多,希望大家发挥)

  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值