文件下载漏洞练习(一)

简介:

(1)打开网页
文件下载漏洞练习(一)
(2)同样的先抓下包
文件下载漏洞练习(一)

我们注意到:
url=Y2hvdWJhZ3VhaS5tcDM 还有/download.php

先解码看看是什么
文件下载漏洞练习(一)
是个文件名
文件下载漏洞练习(一)
(3)我们试着将其替换成、download.php
文件下载漏洞练习(一)

GET /download.php?url=ZG93bmxvYWQucGhw= HTTP/1.1
Host: e2ad76b4d4b6d6ed.yunyansec.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Referer: http://e2ad76b4d4b6d6ed.yunyansec.com/
Accept-Language: zh-CN,zh;q=0.9
Connection: close

(4)文件下载成功,打开后发现还可以有hereiskey.php下载

文件下载漏洞练习(一)

同样先编码
文件下载漏洞练习(一)
得到key
文件下载漏洞练习(一)





     本文转自Alyoyojie 51CTO博客,原文链接:http://blog.51cto.com/antivirusjo/2059595,如需转载请自行联系原作者



相关文章
|
6天前
|
开发框架 安全 .NET
文件上传漏洞技术总结
该文总结了文件上传技术相关的漏洞和绕过方法,包括语言可解析的后缀(如phtml、pht)、常见的MIME类型、Windows特性(如大小写、ADS流、特殊字符)、0x00截断技巧(需满足PHP版本和magic_quotes_gpc状态)、POST型0x00截断、文件头检查(通过合成图片马绕过)、二次渲染(利用未修改部分插入恶意代码)以及各种服务器的解析漏洞(Apache的.htaccess、解析漏洞,IIS的目录解析、文件解析、默认解析和IIS 7.x/Nginx的畸形解析)。此外,还提到了Java的空字节截断问题。
52 1
文件上传漏洞技术总结
|
6天前
|
编解码 JavaScript PHP
文件上传绕过的常见方式
文件上传绕过的常见方式
44 0
|
12月前
|
开发框架 安全 前端开发
|
12月前
|
Web App开发 安全 前端开发
干货 | 总结各种骚姿势绕过文件上传
干货 | 总结各种骚姿势绕过文件上传
12266 0
|
数据中心
SMAP_SSS_ L2c、L3_V04.0.n 文件下载途径(一键同时下载多个数据~)
最近在分析盐度时,需要用到SMAP数据产品,在浏览网上下载途径时,发现大多是从NASA的数据中心下载的,限于国外网络的网速,表示一言难尽啊、、、 经过不懈努力,找到另一个下载途径,可以下载L2C、L3的SSS、Wind等数据,以及相关产品说明。
SMAP_SSS_ L2c、L3_V04.0.n 文件下载途径(一键同时下载多个数据~)
|
开发框架 安全 .NET
9.文件上传漏洞基础
文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的,如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,攻击者可通过 Web 访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器。
9.文件上传漏洞基础
|
开发框架 安全 前端开发
2022渗透测试-文件上传漏洞的详细讲解
2022渗透测试-文件上传漏洞的详细讲解
2022渗透测试-文件上传漏洞的详细讲解
|
安全 Shell Linux
文件上传漏洞及防_3 | 学习笔记
学习笔记 文件上传漏洞及防_3
131 0
文件上传漏洞及防_3 | 学习笔记
|
安全 JavaScript 前端开发
网站总是被上传漏洞上传了木马后门被入侵怎么办
SINE安全又带上业务逻辑漏洞来跟大家做分享了,这一次的主题内容是上传文件漏洞。许许多多企业网站都准许客户自己图片上传、电子版资料,假如上传功能并没有搞好安全防护对策,就存有极大的安全隐患。假如网站应用领域在上传文件流程中并没有对文档的安全性能采取合理的校检,攻击者能够根据上传webshell等恶意文档对php服务器攻击,这样的情况下指出操作系统存有上传文件漏洞。下列是我汇总的一小部分上传漏洞的情景,假如你拥有掌握其他上传避过姿势还可以和我们讨论讨论。
188 0
网站总是被上传漏洞上传了木马后门被入侵怎么办
|
Web App开发 安全 .NET
FCKeditor上传漏洞总结
0x01 FCKeditor简介 FCKeditor是一个专门使用在网页上属于开放源代码的所见即所得文字编辑器。它志于轻量化,不需要太复杂的安装步骤即可使用。
3051 1