【精选】【文件上传绕过】 |
您所在的位置:网站首页 › 白名单测试用户 › 【精选】【文件上传绕过】 |
文章目录
一、实验目的:二、工具:三、实验环境:四、漏洞说明:五、实验过程:1. 图片马制作:1.1 文件头检测+文件内容检测文件类型(没有进行后缀名白名单检测):1.1.1 webjianshangchuan靶场uploadgetimagesize上传:1.2 文件头检测(文件内容检测)+白名单(jpg png gif)文件后缀名检测:1.1.1 upload-labs闯关游戏(Pass-13):1.1.2 upload-labs闯关游戏(Pass-14):
一、实验目的:
1、通过本次实验掌握内容验证上传的原理。 2、通过upload-labs-master闯关游戏Pass-13,Pass-14,掌握图片马绕过内容检测的技术。 3、学会图片马制作方法。 二、工具:BurpSuite 火狐/谷歌浏览器 cmd命令行 三、实验环境:靶 机: windows10虚拟机:192.168.100.150 wenjianshangchuan靶场 upload-labs-master闯关游戏 phpstudy2018搭建网站 攻击机: 物理机 四、漏洞说明:一般文件内容验证使用getimagesize函数检测,会判断文件是否是一个有效的文件图片,如果是,则允许上传,否则的话不允许上传。 本实验就是将一句话木马插入到一个[合法]的图片文件当中,然后用webshell管理工具进行远程连接。 五、实验过程: 1. 图片马制作: 1.1 文件头检测+文件内容检测文件类型(没有进行后缀名白名单检测):准备一张图片,这里为a.png,和一个一句话木马,通过以下命令合成一个图片马3.php: a.php内容: |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |