简单学习文件上传漏洞相关和蚁剑的使用
文件上传漏洞
文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。
这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。
这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。
如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
文件上传漏洞本身就是一个危害巨大的漏洞,WebShell更是将这种漏洞的利用无限扩大。
大多数的上传漏洞被利用后攻击者都会留下WebShell以方便后续进入系统。
Up_load labs测试环境
在本地搭建了Up_load labs测试环境以进行对文件上传漏洞的测试
尝试制作一句话图片木马
准备一张比较小的图片
准备一个php一句话木马文件
准备cmd命令行
copy psw.jpg/b+psw.php/a hack.jpg
结果
尝试在本地upload labs环境上传
查看图片地址
简单学习蚁剑的使用
打开蚁剑
右键添加数据
用include方式检索图片一句话木马位置
将地址输入到蚁剑
输入之前一句话木马中预设的密码
测试链接
点击添加
此时蚁剑已经成功链接目标,可以对文件,数据等进行操作,甚至以管理员身份发出命令
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
THE END
二维码