第一步,搜尋存在漏洞的部落格
找到任意乙個目標後,首先要測試部落格管理員是否將上傳網頁程式檔案刪除了,如果使用者有一些安全意識,有可能會將預設的上傳網頁檔案刪除掉,這時就不行了。
我們選「 ,在位址後新增「/upfile.asp」後回車,如果看到的提示資訊為「microsoft vbscript執行時錯誤 錯誤『800a01b6』」之類的資訊,表示該部落格**存在著檔案上傳漏洞。
第二步,展開攻擊
執行「**上傳利用工具」,在「提交位址」中輸入upfile.asp上傳檔案的所在位址,然後在「上傳路徑」中指定上傳木馬檔案後的儲存路徑,我們一般將它儲存在**根目錄下。「路徑字段」和「檔案字段」使用預設的設定就可以了,在「允許型別」中輸入部落格系統允許上傳的型別。在「本地檔案」後點選「瀏覽」選擇本地的乙個asp木馬,可以選擇海洋頂端網木馬。
現在點選「提交」按鈕,即可上傳木馬,如果看到資訊「1 file had been uploaded!」,則表示檔案上傳成功。接下來,我們就可以連線上傳後的asp木馬進一步滲透攻擊,達到控制整個**伺服器的目的
檔案上傳漏洞
php語言 form表單 tmp臨時目錄 file 判斷檔案資訊 臨時檔案放入想要放的位置 移動臨時檔案 1.伺服器配置不當 2.開源編輯器上傳漏洞 3.本地檔案上傳限制被繞過 4.過濾不嚴或被繞過 5.檔案解析漏洞導致檔案執行 6.檔案上傳路徑 1.前段解析指令碼語言 2.允許上傳指令碼檔案 3....
檔案上傳漏洞
什麼是檔案上傳 一些web應用程式中允許上傳,文字或者其他資源到指定的位置,檔案上傳漏洞就是利用這些可以上傳的地方將惡意 植入到伺服器中,再通過url去訪問以執行 webshell 以web 方式進行通訊的命令直譯器,也叫 後門。本質上講,webshell 就是乙個能夠執行指令碼命令的檔案,其形式可...
檔案上傳漏洞
檔案上傳漏洞的概述 上傳漏洞的危害 檔案上傳漏洞的利用 檔案上傳漏洞的防禦 1 背景 什麼是檔案上傳 為什麼會有檔案上傳 在 運營過程中,不可避免地要對 的某些頁面或者內容進行更新,這個時候需要使用到 的檔案上傳功能。如果不對被上傳的檔案進行限制或者限制被繞過,該功能便有可能會被利用上傳可執行檔案 ...