web常见漏洞--文件上传 - whale3070's blog

web常见漏洞--文件上传

January 20, 2019 am

176 字 2 分钟

参考资料： https://www.cnblogs.com/milantgh/p/3601724.html
https://www.waitalone.cn/bypassing-the-file-upload-validation.html

上一篇：常见web漏洞-command execution

第一个直接上传，什么都没限制

第二个，传php，会提示no PHP

传jpg，正常上传
于是burp抓包，先传一个jpg，然后将图片内容全部删除，替换为php一句话；将后缀添加.php

依然提示no PHP

于是大小写绕过一下，成功绕过。说明是基于正则表达式的匹配。

第三个案例，真实环境

修改filename，后缀为aspx，将图片内容替换为脚本

kali中可用的脚本地址为：/usr/share/webshells/aspx/cmdasp.aspx

就可以执行cmd命令。

web

web

Mirai（物联网设备默认密码） Previous

Blocky（源码泄露、java反编译） Next

TOC