WEB漏洞-文件上传之基础及过滤方式

已于 2022-02-16 20:52:32 修改
阅读量2.4k 收藏 1
点赞数
分类专栏: 渗透笔记2 文章标签: php apache 安全
于 2022-01-19 11:38:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhscxj/article/details/122558718
版权

在这里插入图片描述可以通过工具扫描网站的敏感目录获取文件上传的位置,也可以访问常用的路径。
https://vulhub.org/#/environments/
解析漏洞
IIS,Apache,Nginx,在解析文件时出现漏洞
例:
在这里插入图片描述在上传图片处上传一张含有php代码的图片
在这里插入图片描述
在这里插入图片描述成功上传图片后,在图片的网址后面加上任意php后缀名的文件名,此时nginx就会把此图片文件当成php文件解析,从而执行自己写入的php代码。
在这里插入图片描述

当上传文件时,如果burp抓不到数据包,有可能它的上传功能是通过js等前端写的。

漏洞例子:
得知网址是通过fineCMS搭建的
在这里插入图片描述通过百度搜索finecms的漏洞
在这里插入图片描述
点开漏洞说明在这里插入图片描述进行实践尝试
修改文件格式为php
在这里插入图片描述
虽然网站显示上传失败,但是通过百度的漏洞的说明,对指定目录进行访问,发现是上传成功的
在这里插入图片描述成功访问
在这里插入图片描述

深白色耳机
关注
专栏目录
WEB漏洞-文件上传之WAF绕过及安全修复
Jack, what else can you do besides holding your little darling?
12-07 378
WEB漏洞-文件上传之WAF绕过及安全修复
Web安全--文件上传漏洞--通用漏洞--PHP
weixin_68243135的博客
11-17 779
Web安全--文件上传--绕过--php
文件上传-01基础过滤方式
weixin_44576725的博客
11-21 4354
文件上传基础过滤方式 1、简介 什么是文件上传漏洞 指程序对文件的上传未作全面的限制,导致用户可以上传一些超越用户权限的一些文件,可以是木马,shell脚本,病毒等。 文件上传漏洞有哪些危害 可以通过文件上传漏洞上传webshell后门 文件上传漏洞如何查找及判断 黑盒: 使用扫描工具扫描打开网站。 黑盒:测试会员中心,测试后台。 白盒:直接撸源代码。 文件上传漏洞有哪些需要注意的地方 拿到漏洞后要对漏洞类型进行区分,编辑器、第三方应用、常规等。 区分漏洞类型 关于文件上传漏洞在实际应用
第20天-WEB漏洞-文件上传基础过滤方式
MCTSOG的博客
03-04 805
思维导图 文件上传漏洞 1-什么是文件上传漏洞? 凡是存在文件上传的地方均有可能存在文件上传漏洞,关于上传文件操作的时候对方代码写的是否完整、是否安全,一旦疏忽了某个地方可能会造成文件上传漏洞。 2-文件上传漏洞有哪些危害? 文件可以自定义,可以成为webshell,通过文件上传来上传网站后门,直接获取网站权限,属于高危漏洞。上传漏洞与SQL注入或 XSS相比 , 其风险更大 。可以获取数据库信息,可以对服务器提权,获取内网权限 3-文件上传漏洞如何查找及判断? 1-黑盒查找 文件后台 进入网站后台不一
WEB漏洞-文件上传基础过滤方式
weixin_51583033的博客
02-24 264
WEB漏洞-文件上传基础过滤方式
文件上传过滤
mimang2008110的专栏
07-16 113
package com.mvc.interceptor; import java.io.File; import java.io.IOException; import java.util.List; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRespons...
web安全技术-实验六、文件上传漏洞.doc
08-20
文件上传漏洞】是Web应用安全领域中的一个重要概念,它主要出现在允许用户上传文件到服务器的应用程序中。当系统没有正确地验证或过滤上传的文件类型时,攻击者可以利用这个漏洞上传恶意代码,例如病毒、木马或者...
WEB漏洞——文件上传
qq_63594215的博客
04-09 1295
MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类,当该扩展名文件被访问的时候,浏览器会自动使用知道应用程序来打开。多用于知道一些客户端自定义的文件名,以及一些媒体文件打开方式。网站允许上传任意文件,然后检查上传文件是否包含Webshell,如果包含删除文件。网站允许上传任意文件,但是如果不是指定类型,那么使用unlink删除文件。
Web基本漏洞--文件上传漏洞_tongweb 默认账户漏洞
最新发布
2301_82244607的博客
04-29 443
文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者 WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服 务器的处理逻辑做的不够安全,则会导致严重的后果。大厂面试问深度,小厂面试问广度,如果有同学想进大厂深造一定要有一个方向精通的惊艳到面试官,还要平时遇到问题后思考一下问题的本质,找方法解决是一个方面,看到问题本质是另一个方面。
文件上传基础过滤方式
硫酸超的博客
08-09 1158
文件上传基础过滤方式什么是文件上传漏洞文件上传漏洞有哪些危害?文件上传漏洞如何查找及判断?文件上传漏洞有哪些需要注意的地方?关于文件上传漏洞在实际应用中的说明?演示案例常规文件上传地址的获取说明不同格式下的文件类型后门测试配合解析漏洞下的文件类型后门测试本地文件上传漏洞靶场环境搭建测试某 CMS 及 CVE 编号文件上传漏洞测试 什么是文件上传漏洞? 凡是存在文件上传的地方它均有可能存在文件上传漏洞,关于上传文件操作的时候对方代码写的是否完整、是否安全,一旦疏忽了某个地方可能会造成文件上传漏洞。 文件
文件上传基础过滤方式(20)
san3144393495的博客
05-09 755
第三部分漏洞与修复,就偏向于实际上的东西上来,这个实际应用呢他,他会结合一些其他的东西,比如说漏洞,他是一个漏洞,他可能会配和一个叫解析漏洞的东西,来去实现文件上传,这是第一点。第二点,除了这之外,还h会涉及到cms漏洞,cms就是我们常碰见的网站程序,这个网站程序会产生文件上传漏洞
0916文件上传-基础过滤方式
weixin_44418203的博客
09-17 301
0916文件上传-基础过滤方式
上传图片shell绕过过滤的几种方法
weixin_30881367的博客
09-06 363
一般网站图片上传功能都对文件进行过滤,防止webshelll写入。但不同的程序对过滤也不一样,如何突破过滤继续上传? 本文总结了七种方法,可以突破! 1、文件头+GIF89a法。(php)//这个很好理解,直接在php马最前面写入gif89a,然后上传dama.php 2、使用edjpgcom工具向图片注入代码。(php)//edjpgcom修改,加入php一句话保存为...
nginx 过滤zip 类型的文件
weixin_30328063的博客
11-29 432
http://www.cnblogs.com/bass6/p/5500660.html 转载于:https://www.cnblogs.com/xdcr/p/10038226.html
浏览器端过滤上传文件的格式
彻底拆分,一切可控!
01-01 1570
function validate() { var fe = form1.f.value; var ext = fe.substring(fe.length-3,fe.length); if(ext.toLowerCase()!="jpg"&&ext.toLowerCase()!="gif"&&ext.toLowerCase()!="zip") { for
第20篇:WEB漏洞~文件上传~基础过滤方式
廖一语山的博客
08-07 490
文件上传
Web安全小白入门:文件上传漏洞原理与实验演示
文件上传功能是许多Web应用程序的基础功能,它允许用户上传诸如文档、图片和视频等常规文件,这些文件随后被应用程序接收并存储在后端服务器上,供日后访问使用。然而,恶意用户可能会利用这一功能,试图上传包含...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值