首页 > 代码库 > 文件上传漏洞的一些总结
文件上传漏洞的一些总结
MIME类型绕过:
上传木马时,提示格式错误。直接抓包修改Content-Type 为正确的格式尝试绕过
文件扩展名绕过:
Php除了可以解析php后缀 还可以解析php2.php3,php4 后缀
文件内容检测绕过:
抓包,在正常图片末尾添加一句话木马
00截断绕过上传
1.php .jpg 空格二进制20改为00
IIS 6.0 目录路径检测解析绕过
上传路径改为
XXX/1.asp/
IIS6.0 解析缺陷漏洞绕过
上传路径出修改
XXX/1.php;
Apache 解析缺陷绕过上传漏洞
修改后缀名
122.php.7zz(7zz不能识别的后缀名)
htaccess解析漏洞:
上传的jpg文件都会以php格式解析
.htaccess内容:
AddType application/x-httpd-php .jpg
fck编辑器版本识别及信息收集
版本地址(2.2.4/2.2.6)
_samples/default.html
_whatsnew.html
Fck2.2.4 上传地址:
editor/filemanager/browser/default/comectors/test.html
editor/filemanager/upload/test.html
V2.2.6
editor/filemanager/connectors/test.html
............................................../uploadtest.html
fck编辑器解析漏洞
/1.asp/下创建文件夹2.asp (2.asp会被转成2_asp)
防御方法:
文件上传漏洞的一些总结
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。