网站地图    收藏   

主页 > 后端 > 网站安全 >

8684生活网上传漏洞致被渗透攻击 - 网站安全 - 自

来源:自学PHP网    时间:2015-04-17 11:59 作者: 阅读:

[导读] 1)来到新建店铺功能处,发现有个图片上传,直接上传一句话的jpg图片格式;#8203;2)发现能够成功上传,说明上传程序过滤有问题,再次上传一句话图片并抓包;#8203;3)抓包发现上传...

 1)来到新建店铺功能处,发现有个图片上传,直接上传一句话的jpg图片格式;​

2)发现能够成功上传,说明上传程序过滤有问题,再次上传一句话图片并抓包;
 

3)抓包发现上传程序校验了文件的内容,不要紧,我们直接将Content-Type类型改为:jpeg/gif格式,再修改图片文件后缀为php并提交;​

4)就在这时服务器返回了一段内容,难道直接上传成功了;

5)上传之后,我查看页面图片仍为jpg格式,这是怎么回事呢;难道是程序逻辑的问题,明明返回了php格式文件,这里怎么还是jpg格式文件呢;
6)懒得想了,直接去验证,通过上传的图片路径我们可以预测如果成功上传php文件,那路径肯定和图片在同一路径,直接访问之;

7)靠,你果然在这里,剩下的就不多说了,好像全站都在这里吧;​

PS:马儿,你们自己清理下吧!测试仅仅到这里​
 

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论