题记
今天重温了钟扬老师的纪录片,很感动,他是一个典型的理想主义者,他的精神将会得到传承,我们也应该播种未来。
一、上传检测流程
二、客户端检测绕过
1、绕过一
直接删除限制上传的代码
2、绕过二
直接抓包改包,直接绕过前端限制。
3、APP抓包
三、服务器端检测绕过
1、MIME类型检测绕过
MIME是上传文件时候请求头自动识别的上传文件类型,可修改MIME内容进行绕过。
2、文件内容检测绕过
在木马前面添加合法的文件头进行绕过,此方法针对只检测文件特征头的。例如:
3、完整文件结构检测
把木马和图片结合起来。例如把gif与php结合为一个php文件,可绕过检测因为它的结构有了。
4、恶意文件内容检测
四、文件上传小技巧
注意:就是在正常文件后面拼接另一个拓展名文件
此方法应用于上传的文件那个目录自己无法访问
五、常见解析漏洞
六、文件上传高级利用
就是把压缩包里边的文件名改成../xxx.php
Kali里面输入后边的两条命令