请问各位大牛，上传文件技巧都有哪些？希望有人回答回...

Hon_kunsftt · 发表于 2016-2-3 22:32:13

最近学了一些渗透技术，拿下了一些站的后台，但是不知道到底是我天生命背还是咋地，永远碰不到一个有数据库备份或者网站配置修改可以直接上传asp的。
大部分都是碰到这种坑爹后台。
QQ截图20160203222555.png

不过后来自学了一些上传文件技巧，

比如：
1.文件名%00截断啊
2.IIS6.0 解析漏洞啊 a.asp;.jpg
3.IIS7+ 解析漏洞 a.jpg/.php

但是我目前知道的只有这些了。。。。
希望大牛能说说更多的上传文件的技巧和方法，不必具体详解（当然那更好）。告诉我一个关键字，我会百度。

还有........ 要是假如上传文件会被重命名为【日期】.jpg 而且抓包的时候包内没有上传的目录，而且使用%00截取文件名的时候会报错非法路径。IIS7解析漏洞也不可用的话。。。还有什么办法上传大马。。。

Te5tB99 · 发表于 2016-2-4 10:12:09

截断上传，服务器解析漏洞，，，，

90_ · 发表于 2016-2-4 11:11:02

现在能遇到数据库备份拿shell的话也算是幸运值爆表达人品。
最常见的就有双文件上传、改包报上、js验证改文件上传。

如果遇到白名单机制，那就要费脑子了

Hon_kunsftt · 发表于 2016-2-4 13:38:12

90_ 发表于 2016-2-4 11:11
现在能遇到数据库备份拿shell的话也算是幸运值爆表达人品。
最常见的就有双文件上传、改包报上、js验证改 ...

谢谢90大大

xishir · 发表于 2016-2-4 18:03:45

很多编辑器都有上传漏洞，我最常见的就是FCKeditor和ewebeditor，可以去研究一下它们的漏洞，认一下长什么样，你会发现后台里的编辑器就是它们

天命玄鸟 · 发表于 2016-2-12 16:02:52

楼主解决没？我也遇到一个这样的

请问各位大牛，上传文件技巧都有哪些？希望有人回答回...

相关帖子

点评

指导单位

旗下站点

联系我们