实战之文件上传绕过后缀检测Getshell admin 102620文章 87评论 2024年2月15日20:08:30评论4 views字数 290阅读0分58秒阅读模式 声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 一个上传头像功能点,尝试绕过后缀检测均未成功。 看到typefileTypebreach,根据以往渗透测试经验就是把参数修改成0、1、2这些看是不是能绕过文件类型检测。 发现都不可以,以往fileType可能是1代表文件、2代表图片文件。但是都以失败告终准备放弃了,突然想起来还有一个参数all代表全部。 激动人心啊看能不能成功解析。 解析成功直接上一句话木马。 疑似有一句话木马检测,直接上免杀马。 上传成功。 完美收工。 原文始发于微信公众号(安全无界):实战之文件上传绕过后缀检测Getshell 点赞 http://cn-sec.com/archives/2170601.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论