文件上传 - 第 2 | CN-SEC 中文网

代码审计之文件上传

介绍本篇为代码审计系列的第七篇《代码审计之文件上传》，预计本系列为30篇左右。对于文件上传功能，如果后端没有对上传的文件做过滤和校验，则会导致可上传任意文件到服务器，如果后端根据文件名去拼接一个路径，...

03月15日代码审计12 views评论

阅读全文

安全文章

分享几个CVE漏洞复现

简单复现一下遇到的CVE漏洞DecryptTools-一款集成多数据库的综合加解密工具铲子SATST-一款自动化代码审计工具一、CVE-2018-29422文件上传RCE漏洞靶机：venom对veno...

03月14日28 views已关闭评论

阅读全文

安全漏洞

Apache Tomcat partial PUT文件上传反序列化漏洞（CVE-2025-24813）

“ CVE-2025-24813”看到了，关注一下不吃亏啊，点个赞转发一下啦，WP看不下去的，可以B站搜：标松君，UP主录的打靶视频，欢迎关注。顺便宣传一下星球：重生者安全，里面每天会不定期更新OS...

03月12日39 views评论

阅读全文

安全文章

某大学证书站漏洞打包

之前发现手里的供应链源码刚好某个证书站也有用到，随即代码审计某处处理文件上传的getShowimages方法没有对文件后缀名进行检查，导致任意文件上传getshell 构造文件上传数据包，贴...

03月11日6 views评论

阅读全文

代码审计

代码审计 | 某系统存在文件上传漏洞

该漏洞与上一篇文章是同一个系统，因为时间不充裕一直没写，该漏洞主要是黑名单文件上传绕过，审计难度较为简单。一、漏洞挖掘挖掘流程：先黑盒找到文件上传功能，直接上传jsp文件。保存后显示文件上传成功...

03月10日43 views评论

阅读全文

安全新闻

【高危漏洞预警】Elastic Kibana代码执行漏洞(CVE-2025-25015)

漏洞描述：Kibаnа中的原型污染问题可以通过精心制作的文件上传和特定的HTTP请求导致任意代码执行,在Kibаnа版本＞=8.15.0和<8.17.1中,拥有Viеԝеr角色的用户可以利用此漏...

03月06日94 views评论

阅读全文

安全文章

Vulnhub-Hackme靶机-sql注入+文件上传+反弹shell

一、靶机搭建选择扫描虚拟机选择路径即可二、信息收集靶机信息 Name: hackme: 1 Date release: 18 Jul 2019 难度：初级，目标是通过web漏洞获得有限的权限访...

03月05日11 views评论

阅读全文

安全文章

Fristileaks 靶机，文件上传之getshell,sudo提权

端口扫描image-20250302191201086目录泄露：/cola /sisi /beerdirb目录扫描image-20250302191515796整合下思路：发现五张图片，将他们下载到...

03月03日8 views评论

阅读全文

安全文章

VulnHub-FristiLeaks_1.3靶机-泄露加解密+文件上传+反向shell

一、靶机搭建选择扫描虚拟机选择路径即可二、信息收集靶机信息产品名称：Fristileaks 1.3 作者：Ar0xA 发布日期： 2015 年 12 月 14 日目标：获取...

03月03日12 views评论

阅读全文

Lumsoft ERP 8无限制文件上传漏洞 (CVE-2025-1646)

漏洞描述:在Lumѕоft ERP 8中发现了一个被分类为严重的漏洞,这个问题影响了组件ASPX文件处理器中文件/Aрi/TinуMсе/UрlоаdAјахAPI.аѕhх的一些未知功能,操纵参数f...

02月26日118 views评论

阅读全文

渗透测试初级面试题

今天给大家更新一篇渗透测试初级面试题当你发现这个网站有 CDN 的时候应该怎么办？解答：这个其实是在问你绕过 CDN 的方法是什么,首先我们要明白什么是 CDN，CDN 是构建在现有网络基础之上的智能...

02月25日安全职场25 views评论

阅读全文