WEB入门之文件上传

WEB入门之文件上传

开门见山,来个关键图

判断上传漏洞类型

通过半天的学习,我这个web小白也对文件上传有了一点点理解

总结了几个方面(当然是很简单的QAQ,难得也不会)

客户端检查绕过

  1. 删除js代码或者禁用js
  2. 直接用控制台控制返回值
  3. 把木马修改为可以上传的文件后缀,然后burp抓包,修改文件后缀

黑名单绕过

  1. 上传特殊可解析后缀(.php”,”.php5”,”.php4”,”.php3”,”.php2”,”php1”,”.phtml”)
  2. 上传.htaccess配置文件绕过
  3. 后缀大小写绕过
  4. 点绕过
  5. 空格绕过
  6. ::$DATA绕过(windows下)
  7. 双写后缀绕过

白名单绕过

  1. MIME绕过
  2. %00绕过
  3. 0x00截断

上传图片马

上传图片马,利用文件包含漏洞利用