文件上传漏洞(四,靶场详解)

前言:

本文基于github上的upload-labs,PHP study以及bp抓包软件进行操作。

靶场环境搭建及pass-1.pass-2请转到:

文件上传漏洞(二,靶场搭建及漏洞利用)

文件上传漏洞(三,靶场详解)

一,图片马。

1,什么是图片马。

通过将恶意代码嵌入到正常图片内来绕过web检测机制,当文件被解析读取时,恶意代码就会被执行。

2,如何让制作图片马。

​从预览中可知,这是一张名为b正常的png图片。

将恶意代码放入这个文件夹中。

名为c的php一句话木马。

在地址栏输入cmd并回车,打开命令行。

复制代码
copy b.png/b + c.php/a d.png

这段代码的意思是:

将c.php的内容复制,与 b.png的内容合成到 d.png。

二,木马利用。

1,上传木马,并找到文件地址。

2,使用蚁剑进行连接。

连接成功。

后记:

只要是存在图片或文件上传(包括所有可以更改头像的),都可以使用此方法进行测试。

相关推荐
猫耳君2 小时前
汽车网络安全 CyberSecurity ISO/SAE 21434 测试之四
安全·web安全·网络安全·汽车·测试·security·cybersecurity
余防5 小时前
XXE - 实体注入(xml外部实体注入)
xml·前端·安全·web安全·html
粟悟饭&龟波功10 小时前
【网络安全】二、入门篇:HTTP 协议进阶 ——GET/POST 常用传参方法详解
安全·web安全·http
AORO202510 小时前
三防手机是什么?有哪些值得购入的三防手机?
网络·5g·安全·智能手机·信息与通信
thginWalker11 小时前
安全系统架构
安全·系统架构
lingggggaaaa11 小时前
小迪安全v2023学习笔记(九十讲)—— 小程序篇&反编译&外在&主包分包&配置泄露&算法逆向&未授权
笔记·学习·安全·web安全·网络安全·小程序
独行soc14 小时前
2025年渗透测试面试题总结-90(题目+回答)
网络·python·安全·web安全·adb·渗透测试·安全狮
纠结的学渣14 小时前
信息安全基础知识:03密码学基础知识
安全
缘的猿14 小时前
Kubernetes 安全管理:认证、授权与准入控制全面解析
java·安全·kubernetes
乾博电子15 小时前
GFM100 地线连续性检测监控器:破解工业接地痛点,筑牢电力系统安全防线
安全·系统安全·在线监测·在线绝缘监测仪·地线连续性绝缘监测