文件上传漏洞练习笔记(1)
发表于:2024-10-26 作者:千家信息网编辑
千家信息网最后更新 2024年10月26日,(1)打开网站(2)我们注意到一个图片上传,先传个jpg看看(3)结果中可以看到Stored in: upload/Tulips.jpg先记一下,这个是文件的保存路径,后边会用到。下边开始看看传其他文
千家信息网最后更新 2024年10月26日文件上传漏洞练习笔记(1)
(1)打开网站
(2)我们注意到一个图片上传,先传个jpg看看
(3)结果中可以看到Stored in: upload/Tulips.jpg
先记一下,这个是文件的保存路径,后边会用到。
下边开始看看传其他文件,php,或随便一个后缀名文件,探究他的过滤能力
我写了个php文件为1text.php
(4)我们发现不能上传文件,可是又抓包抓不到,可以判定,在本地做了文件过滤
这时候,我们可以看看源代码,发现有后缀名的校验
(5)我们现在把1test.php改为1test.jpg
(6)可以发现文件是可以上传成功的。
(7)但显然,这个也不是我们要的结果,jpg格式不能直接解析
这个时候,我们想想是不是可以在上传的时候将文件名改回php
(8)居然成功了,,我们菜刀连一下,。。网速太渣,就这样把
(9)下边提升下难度,如果上传不成功,
使用大小写测试,或加 1 2 3 4 5 等,再或者尝试pht文件
文件
成功
后缀
时候
结果
图片
大小
文件名
格式
源代码
网站
网速
能力
菜刀
路径
难度
先传
先记
尝试
测试
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
兴化直销网络技术诚信服务
创建虚拟主机数据库账户密码
手机田亩测量仪软件开发
营业厅网络安全应急预案
爱家网络技术有限公司
2016年湖南省网络安全
网络安全监测探针位置
网络安全礼仪美篇
高淳区工商软件开发售后服务
sql怎样备份数据库
日本无线软件开发
网络安全运营工作怎样
数据库事务的四个基本性质
承接软件开发 网站开发了
北京送货单软件开发
分析TCGA数据库的工具
手机电信服务器设置
网络安全几种方式
软件开发有限公司英语
网络安全接入控制华为
泰兴勒禾网络技术有限公司
高淳区工商软件开发售后服务
卡尔萨斯浮空城服务器哪个好
服务器硬盘直装系统
平凉网络安全工程师难吗
服务器安全性的配置
汕尾地区近十年网络安全事件
包头市网络安全保卫支队
国有公司服务器配置与管理
打印机服务器怎么下载驱动