查看: 3101|回复: 5

请问各位大牛,上传文件技巧都有哪些?希望有人回答回...

[复制链接]
  • TA的每日心情

    2016-2-20 11:24
  • 签到天数: 20 天

    [LV.4]偶尔看看III

    发表于 2016-2-3 22:32:13 | 显示全部楼层 |阅读模式
    最近学了一些渗透技术,拿下了一些站的后台,但是不知道到底是我天生命背还是咋地,永远碰不到一个有数据库备份或者网站配置修改可以直接上传asp的。
    大部分都是碰到这种坑爹后台。
    QQ截图20160203222555.png

    不过后来自学了一些上传文件技巧,

    比如:
    1.文件名%00截断啊  
    2.IIS6.0 解析漏洞啊 a.asp;.jpg
    3.IIS7+ 解析漏洞 a.jpg/.php

    但是我目前知道的只有这些了。。。。
    希望大牛能说说更多的上传文件的技巧和方法,不必具体详解(当然那更好)。告诉我一个关键字,我会百度。

    还有........   要是假如上传文件会被重命名为 【日期】.jpg  而且抓包的时候包内没有上传的目录,而且使用%00截取文件名的时候会报错非法路径。IIS7解析漏洞也不可用的话。。。还有什么办法上传大马。。。
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2024-1-11 16:11
  • 签到天数: 426 天

    [LV.9]以坛为家II

    发表于 2016-2-4 10:12:09 | 显示全部楼层
    截断上传,服务器解析漏洞,,,,
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2024-12-14 22:22
  • 签到天数: 1631 天

    [LV.Master]伴坛终老

    发表于 2016-2-4 11:11:02 | 显示全部楼层
    现在能遇到数据库备份拿shell的话也算是幸运值爆表达人品。
    最常见的就有双文件上传、改包报上、js验证改文件上传。

    如果遇到白名单机制,那就要费脑子了

    点评

    谢谢90大大  详情 回复 发表于 2016-2-4 13:38
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2016-2-20 11:24
  • 签到天数: 20 天

    [LV.4]偶尔看看III

     楼主| 发表于 2016-2-4 13:38:12 | 显示全部楼层
    90_ 发表于 2016-2-4 11:11
    现在能遇到数据库备份拿shell的话也算是幸运值爆表达人品。
    最常见的就有双文件上传、改包报上、js验证改 ...

    谢谢90大大      
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2016-10-31 20:18
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2016-2-4 18:03:45 | 显示全部楼层
    很多编辑器都有上传漏洞,我最常见的就是FCKeditor和ewebeditor,可以去研究一下它们的漏洞,认一下长什么样,你会发现后台里的编辑器就是它们
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-4-11 10:25
  • 签到天数: 55 天

    [LV.5]常住居民I

    发表于 2016-2-12 16:02:52 | 显示全部楼层
    楼主解决没?我也遇到一个这样的
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-22 21:45 , Processed in 0.098633 second(s), 19 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部