【攻防世界】bug

爆农2024-04-15 21:43

垂直越权+IP绕过+文件上传

文件上传绕过:

  1. mime检测

  2. 大小写绕过

  3. 等价替换(php5,php3)

  4. 利用JavaScript执行php代码(正常的php代码会被检测到,所以就用JavaScript来执行)

html 复制代码 
<script language='php'>....</script>

在muma.php里写一句话木马,发现系统能认出这是php文件,说明开启了内容的检测(存在文件黑名单过滤和 Content-Type 判断,文件内容过滤 PHP 的语法 )。

抓包修改后缀为 "php5",Content-Type 为 "image/jpeg",并在 post 数据中将 PHP 一句话木马改为用 JavaScript 表示。

https://www.cnblogs.com/linfangnan/p/13591331.html

【愚公系列】2023年06月 攻防世界-Web(bug)_攻防世界bug-CSDN博客

相关推荐
阿部多瑞 ABU10 小时前
《智能学号抽取系统》V5.9.5 发布:精简代码,修复移动端文件读取核心 Bug
vue·html·bug
qq_4523962316 小时前
【工程实战】第八篇:报告美学 —— Allure 深度定制:让 Bug 定位精准到秒
开发语言·python·bug
tkokof12 天前
捉虫(Bug)小记
人工智能·深度学习·bug·游戏开发
南宫萧幕2 天前
基于上一篇文章VMware+openweb UI+ollama+docker的bug问题总结
docker·容器·bug·openweb ui
呼啦啦5612 天前
测试(BUG篇)
bug
ZC跨境爬虫2 天前
3D地球卫星轨道可视化平台开发Day2(轨道错位Bug修复+模块化结构优化)
前端·3d·html·json·bug
柠檬07112 天前
记录bug :C++调用python 路径问题
c++·python·bug
初圣魔门首席弟子4 天前
bug20260415
c++·bug
万粉变现经纪人4 天前
如何解决 pip install flash-attention 报错 需要 SM_80+(Ampere)架构 问题
python·架构·django·bug·virtualenv·pip·pygame
zhanglianzhao5 天前
Gazebo仿真机器人和相机时Gazebo ROS Control 插件偶发性加载失败bug分析
机器人·bug·ros·gazebo·ros_control
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点032026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free04AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析05零成本!Ollama本地部署国产大模型全指南(支持Kimi-K2.5/GLM-5/Qwen,新手秒上手)06从零部署 Hermes Agent:一只"会成长的 AI 马"保姆级安装教程07GPT-6发布日深度解析-Symphony架构200万Token实战08从旧版到 v0.20.5:Ollama 升级避坑全流程(附命令复制即用)09从限购到畅通:GLM-5.1 Coding Plan接入攻略10智元机器人发布4款新品,2026营收目标5亿元