32、WEB攻防——通用漏洞&文件上传&二次渲染&.htaccess&变异免杀

文章目录

一、点过滤

不能写带文件后缀的文件名;IP转数字

二、文件删除

文件依据规则进行删除,删除有两种删除的类型:

  1. 什么文件都删除,条件竞争进行绕过
  2. 后门代码删除,后门代码写到远程地址,再包含

直接包含到.user.ini

三、二次渲染

需要配合文件包含漏洞,如果没有文件包含漏洞,需要使用.user.ini进行php环境配置,当然访问的php文件需要对php环境进行配置,支持.user.ini

文件上传------二次渲染

四、.htaccess

.user.ini限制脚本语言,.htaccess限制中间件类型(默认支持apache)。

五、过滤php关键函数

切割关键函数

.user.ini成功的两个条件:

  • 需要php版本支持(php7默认支持,php5默认不支持);
  • 有.user.ini的文件夹下需要有正常的php文件。
相关推荐
木木子222 小时前
[特殊字符] 音乐播放器——状态驱动的多媒体控制
android·开发语言·华为·php·harmonyos
酷酷的身影3 小时前
Drivers/LedManager.cs
开发语言·php
可靠的仙人掌4 小时前
SAC(Soft Actor-Critic)算法底座
开发语言·算法·php
qq_422152576 小时前
PDF内容复用的几种实用方法:转PPT、转图片、转长图
pdf·php·powerpoint
weixin_BYSJ19871 天前
SpringBoot + MySQL 乒乓球运动员信息管理系统项目实战--附源码04954
java·javascript·spring boot·python·django·flask·php
用户3074596982071 天前
GatewayWorker 从零到一完整指南
javascript·php
XR1234567881 天前
食品饮料与制药行业GMP合规网络建设:无尘车间的网络不能成为污染源
开发语言·网络·php
AC赳赳老秦1 天前
传感器数据自动汇总:OpenClaw 采集多类传感器数据、清洗入库、生成趋势分析
java·人工智能·python·自动化·github·php·openclaw
Dynadot_tech1 天前
如何拍卖域名
开发语言·php
发光小北1 天前
Bronze100系列plc Modbus及自由口通信案例
开发语言·php