【愚公系列】2023年04月 文件上传渗透测试之绕过黑名单检查(::$DATA、点+空格+点)

news/2024/12/21 0:59:39/

文章目录

  • 前言
  • 一、::$DATA绕过
  • 二、点+空格+点


前言

文件上传漏洞是一种安全漏洞,指攻击者通过网站上传功能上传恶意文件来攻击网站的漏洞。攻击者可以通过利用这种漏洞上传恶意文件来执行代码和命令,进而控制网站、窃取敏感信息等。常见的文件上传漏洞主要存在于没有健全的文件上传验证机制的网站中。

黑名单检查是一种针对某些特定的不良信息或用户的过滤机制,这些信息或用户被列入黑名单,系统可以根据黑名单进行检查,防止他们再次出现或绕过检查。黑名单检查在网络安全、社交媒体、电子商务等领域得到广泛使用。

一、::$DATA绕过

1、 写一个简单的一句话eval.php:

在这里插入图片描述

2、Kali机器浏览器访问http://10.1.1.100/upload-labs/index.php,选择Pass-08,点击右上角‘显示源码’,通过源码提示进行文件上传:

发现没有对后缀名进行去‘::$DATA’处理,

利用Windows下NTFS文件系统的一个特性,即NTFS文件系统存储数据流的一个属性$DATA,
当我们访问aa.asp

http://www.ppmy.cn/news/583629.html

相关文章

两万字带你认识黑客在kali中使用的工具

目录 前言一、信息收集工具二、脆弱性分析工具三、漏洞利用工具四、嗅探与欺骗工具五、密码攻击工具六、权限提升工具七、Web应用工具八、无线攻击工具九、硬件黑客工具十、维持访问工具十一、取证工具十二、逆向工程工具十三、压力测试工具十四、报告工具十五、kali Top10 工具…

【kali】一款黑客们都在使用的操作系统

💕💕💕 博主昵称:摆烂阳💕💕💕 🥰博主主页跳转链接 👩‍💻博主研究方向:web渗透测试 、python编程 📃 博主寄语:希望本篇文…

【愚公系列】2023年05月 Web渗透测试之SSRF漏洞分析与实践

文章目录 前言一、SSRF简介二、ssrf漏洞验证三、通过dict协议获取服务器端口运行的服务四、通过file协议访问计算机中的任意文件五、sftp及tftp协议在SSRF中的作用前言 SSRF漏洞是指攻击者可以利用目标应用程序的功能,向内部网络或者外部网络发起请求。攻击者可以通过构造恶意…

网络安全-自学笔记

目录 相关网站推荐 WEB(应用)安全 学习路线 推荐 书籍 网站 在线靶场 基础 XSS攻击 CSRF漏洞 劫持攻击 点击劫持 SSRF漏洞 文件包含漏洞 文件上传漏洞 XXE漏洞 WebShell 解析安全 RCE漏洞 SQL注入漏洞 反序列化漏洞 条件竞争 通信…

基于SQL Server数据库的安全性对策探究

数据库进阶课程论文 题 目:基于SQL Server数据库的安全性对策探究 作者姓名: 作者学号: 专业班级: 提交时间: 2023/6/4 目 录 1概述 1 2 SQL Server数据库的安全问题 1 2.1以使用者身份进入数据库 1 2&a…

elixir教程:递归和枚举

文章目录 递归递归实现循环列表和尾递归Enum模块 递归 由于在Elixir中,变量是不可变的,从而类似i这种自增指令是没法实现的,也就没法进行循环。但作为一种编程语言来说,循环又是必不可少的一种流程控制手段,而在elixi…

帝国CMS7.5仿可可礼物网漂亮大气淘宝客网站源码 带手机版+火车头采集

简介: 帝国CMS 7.5 utf-8 PHPMYSQL淘宝客创意礼物在线导购网站源码,大型礼物类整站程序系统模板。 本模板清爽简单,同时可改成化妆品,女装,箱包类的淘宝客导购网,可以在文章攻略中插商品购买链接。 网盘下…

模仿唯品会官网静态

模仿唯品会界面 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><meta http-equiv"X-UA-Compatible" …