文件上传学习

文章预览

1 原理 利用服务端代码对文件上传路径变量过滤不严格将可执行的文件上传到一个到服务器中 ，再通过URL去访问以执行恶意代码。 2 利用 1、上传webshell：一句话木马或者以及经过免杀的webshell 2、钓鱼攻击：上传带有恶意代码的文件诱导用户或管理员下载 3、拒绝服务DoS：上传超大文件占用服务器带宽和资源 3 绕过 1.前端绕过 原理 ：在文件上传点处只进行了前端检测，在后端没有检查就将文件放入服务器中 绕过 ：将文件上传时修改文件后缀，绕过前端检查，之后进行抓包获取数据包在将上传的文件后缀修改成PHP或ASP 实践 ：选择的题目是ctfhub的js前端验证 分析源代码 function checkfilesuffix () { var file= document . getElementsByName ( 'file' )[ 0 ][ 'value' ]; if (file== "" ||file== null ) { alert ( "请添加上传文件" ); return false ; } else ………………………………