WEB安全基础 - - -文件上传

最新推荐文章于 2024-08-18 18:09:18 发布
原创 最新推荐文章于 2024-08-18 18:09:18 发布 · 988 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #服务器 #网络

本文详细介绍了文件上传漏洞的概念、原因及危害,重点讨论了Webshell的基本原理和常见类型,包括PHP、ASP和ASPx的一句话木马。此外,还列举了几个常用的Webshell管理工具,如中国菜刀、蚁剑和冰蝎,用于远程管理被控制的服务器。

目录

一,文件上传简介

 二,文件上传漏洞简介

三,文件上传漏洞出现的原因

四,Webshell简介

五,Webshell基本原理

六,Webshell管理工具  

中国菜刀

蚁剑-AntSword

 冰蝎-Behinder

哥斯拉-Godzilla

一,文件上传简介

将客户端数据以文件形式封装,通过网络协议发送到服务器端。在服务器端解析数据,最终在服务端硬 盘上作为真实的文件保存。
通常一个文件以 HTTP 协议进行上传时,将以 POST 请求发送至 Web 服务器, Web 服务器收到请求并同意 后,用户与Web 服务器将建立连接,并传输数据。

 二,文件上传漏洞简介

文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。常见场景是Web服务器允许用户上传图片或者普通文本文件保存,而用户绕过上传机制上传恶意代码并执行从而控制服务器。

三,文件上传漏洞出现的原因

1. 服务器配置不当
2. 文件上传限制被绕过
3. 开源编辑器的上传漏洞
4. 文件解析漏洞导致文件执行
5. 过滤不严或被绕过

四,Webshell简介

WebShell 就是以 ASP PHP JSP 或者 CGI 等网页文件形式存在的一种命令执行环境,也可以将其称之为 一种网页后门。攻击者在入侵了一个网站后,通常会将这些asp php 后门文件与网站服务器 web 目录下 正常的网页文件混在一起,然后使用浏览器来访问这些后门,得到一个命令执行环境,以达到控制网站 服务器的目的(可以上传下载或者修改文件,操作数据库,执行任意命令等)
常用Webshell:
php 一句话木马: <?php @eval($_POST[value]);?>
asp 一句话木马: <%eval request("value")%>
aspx 一句话木马: <%@ Page Language="Jscript"%><%eval(Request.Item["value"])%>

五,Webshell基本原理

以一句话木马为例

<? php
    @eval ( $_POST [ 'cmd' ]);
?>

php的代码要写在 <?php ?> 里面,服务器才能认出来这是php代码,然后才去解析。 

@ 符号的意思是不报错,因为变量没有定义而被使用,服务器会提醒XXX变量未定义。

$_POST['cmd'];  

六,Webshell管理工具  

中国菜刀

中国菜刀:
https://github.com/raddyfiy/caidao-official-version

蚁剑-AntSword

安装
1. 下载 AntSword - Loader
https://github.com/AntSwordProject/AntSword-Loader/releases
2. 下载 antSword
https://github.com/AntSwordProject/antSword/releases
3. 解压并进入 AntSword - Loader 目录,新建 work 目录,解压 antSword work 目录

 冰蝎-Behinder

安装
Behinder
https://github.com/rebeyond/Behinder/releases

哥斯拉-Godzilla

安装
Godzilla
https://github.com/BeichenDream/Godzilla/releases
WEB安全基础 - - -文件上传文件上传绕过)
weixin_67503304的博客
07-23 2593
简单分析文件上传漏洞,利用靶场进行实例讲解,如:绕过客户端检测,绕过服务端检测。
Web文件上传
weixin_43916678的博客
02-25 5301
文章目录一、文件上传1、上传攻击的原理 一、文件上传 概念:文件上传攻击是指攻击者利用Web应用对上传文件过滤不严的漏洞,将应用程序定义类型范围之外的文件上传Web服务器,并且此类文件通常为木马,在上传成功后攻击者即可获得当前文件webshell。 攻击者的目标是取得当前Web服务器的权限,如果通过Web层面展开攻击,那必须将攻击者的木马插入到Web系统中,并在服务器端执行,这个过程就是对Web服务器进行文件注入攻击。 1、上传攻击的原理 ...
使用HTTP上传文件WEB服务器
06-20
最近很多人向我HTTP上传文件WEB上,我就放在网络上共享,我比较忙,没空一个一个发,现上传上来了
通过Web服务上传文件
02-22
在大型分布式网站中,往往有专门的资源服务器(例如图片服务器)。将资源专门存放一个服务器上,能有效的降低主服务的压力。此示例就是分布资源的一种实现。此示例包含WebService和WebSite两个项目。可以在IIS中配置两个站点(WebService站点的端口号必须是1034,因为Web引用的地址用的是1034)。在实际应用中,这两个站点可以在不同的物理硬件设备上。为了保持示例的简单性和易于理解,Web服务中未使用安全策略。关于Web服务的安全问题,以后会有专门的文章讲述(可以参考WSE相关技术资料)。<br><br>详情查看: http://www.SmartKernel.com
上传文件Web服务器
01-04
首先在“文件名”文本框中输入保存到服务器上的文件名,然后单击“浏览”按钮选择要上传文件,选择完成后该文件的路径将显示在“选择文件”文本框中,最后单击“提交”按钮,将所选择的文件上传服务器上,程序默认的上传路径为“D:\upload”,运行本实例时要建立相应的文件夹。 ?  技术要点 ? 本实例首先使用自定义的LzwUploadBean类(被保存在lzwBean包中)来解析Form表单的InputStream输入流,然后将获取的文件名信息和文件内容传送到服务器指定的文件夹中。LzwUploadBean类中使用了File对象的separatorChar()方法、File对象的createNewFile()方法及FileOutputStream对象的write()方法。下面介绍这3种方法。
HTTP上传文件WEB服务器
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
01-25 3318
http://download.csdn.net/download/xiaoxiong_9527/504763
web服务器上传文件,文件上传web服务器
weixin_29224589的博客
08-06 374
文件上传web服务器 内容精选换一换通常在将数据导入数据库前,即将入库的数据已经在相关主机上了。我们称这种保存着待入库数据的服务器为数据服务器。此时,只需检测以确认数据服务器和GaussDB(DWS)集群能够正常通信,并查看和记录数据在数据服务器上的存放目录备用。如果待入库数据还没有就绪,则请先参考如下步骤,将数据上传到数据服务器上。GDS并行导入支持CSV、TEXT格式的支持将华为云服务器上的音...
Web安全Upload-labs文件上传漏洞利用技巧通关教程:从基础到高级的实战演练与安全实践
最新发布
07-30
首先解释了文件上传漏洞的基本概念,即Web应用程序在允许用户上传文件时,若未正确验证或限制文件类型和内容,可能导致服务器被控或数据泄露。接着介绍了环境搭建步骤,包括安装Docker、获取并运行Upload-labs容器。...
精选资源
009-Web安全基础5 - 文件处理漏洞.pptx
10-22
总的来说,文件处理漏洞是Web安全的重要环节,需要开发者和安全专家持续关注并采取有效的防护措施。通过理解漏洞原理、检测方法和防御策略,可以显著提升Web应用的安全性,保护用户数据和服务器资源不受侵犯。
精选资源
WEB安全基础-合集篇
10-23
WEB安全基础—合集篇,包含基础SQL注入、文件上传、XSS、CSRF、文件包含、逻辑漏洞等。适合新手上手参考学习,通过本文档,可以快速了解渗透测试。
上传文件web服务器(iphone)
weixin_34406061的博客
06-05 260
下面的代码可以上传文件,NSData *imageData = UIImageJPEGRepresentation(image.image, 90);    // setting up the URL to post to    NSString *urlString = @"http://localhost/test-upload.php";        // setting up the r...
c++实现向web服务器上传文件
01-04
vs2013 c++实现上传的客户端,服务端为java写的web工程,模拟post方法,可以上传文件
上传文件Web 服务器
weixin_34314962的博客
11-11 615
为什么80%的码农都做不了架构师?>>> ...
Web服务器开发、文件上传
weixin_56663198的博客
06-06 987
1 Stream的读写操作 2 http模块web服务 3 request请求对象 4 response响应对象 5 axios node中使用 6 文件上传的细节分析
文件上传
weixin_44626952的博客
11-19 536
文件上传Web 开发常见需求,上传文件需要用到文件输入框,如果给文件输入框添加一个 multiple 属性则可以一次选择多个文件(不支持的浏览器会自动忽略这个属性) <input multiple type="file"> 点击这个输入框就可以打开浏览文件对话框选择文件了,一般一个输入框上传一个文件就行,要上传多个文件也可以用多个输入框来处理,这样做是为了兼容那些不支持 mul...
WEB文件上传
SXXYNHHXX的博客
08-18 1308
文件上传漏洞是一种常见的网络安全问题,它发生在网络应用程序允许用户上传文件服务器的功能中。如果这一功能没有得到适当的安全控制和验证,攻击者就可以利用这个漏洞上传恶意文件,进而执行不当操作,影响服务器安全性和稳定性。
调用web服务上传文件
xuexiaodong2009的专栏
01-31 514
调用web服务上传文件
文件上传Web服务器
weixin_30699443的博客
10-29 160
1.添加需要的控件 <formid="uploderform"method="post"action="fileupload.ashx"enctype="multipart/form-data"runat="server"> 文件名称:<inputtype="file"id="myfile"runat="server"name="myfile"...
web服务器 怎样上传文件,文件上传web服务器
weixin_36450655的博客
08-08 1271
文件上传web服务器 内容精选换一换以下内容以Windows系统为例。ssh-keygen -t rsa -b 2048过程中需要:(可选)输入保存的文件名,默认为在“C:\Users\username/.ssh”目录下保存为id_rsa(私钥)和id_rsa.pub(公钥)文件。(可选)设置密钥的密码口令。回显信息如下:普通用户将公钥文件上传至/home/操作系统用户名/HPC是高性能计算(Hi...
实现高性能web文件上传的commons-fileupload教程
综上所述,基于commons-fileupload组件的文件上传系统涉及到了Java Web开发中的多个知识点,包括了解HTTP协议中的multipart/form-data数据处理、Servlet技术、JSP技术以及MVC设计模式等。此外,还需要掌握一些文件...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

干掉芹菜

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值