当前位置: 首页 > news >正文

命令注入和文件上传分析

news 2025/7/3 9:35:38

命令注入

将安全等级改成low

输入127.0.0.1的地址

输入拼接命令,可以输出想要的结果

查看源码,安全性很低,无过滤

换成中级的(有一定过滤)

在源码中,可以看到&&和;都被过滤为空白,无法识别

但是可以利用或||

当前面的条件正确,则执行

前面的条件错误,则执行后面的

换成高级的

文件上传

低级

不会对文件做任何检测,任何文件(安全和不安全)都可以直接上传

只定义了文件的存储位置

成功上传

并且可以执行

中级

可以看到只能上传图片类型的文件

图片的类型是image/jpeg

将修改Content-Type:image/jpeg

上传成功

也可以正常执行


http://www.mrgr.cn/news/50130.html

相关文章:

  • 计组-CPU构成(运算器与控制器的组成)
  • Variadic function
  • Russ Cox谈Go项目技术负责人的交接
  • ubuntu使用overlay
  • 基于LSTM-Transformer混合模型实现股票价格多变量时序预测(PyTorch版)
  • spark:数据的关联与合并、缓存和checkpoint
  • 二叉树的遍历
  • npm-run-all 使用实践
  • Ubuntu系统下的用户管理
  • 【C++】二叉搜索树的概念与实现
  • 面试十分钟不到就被赶出来了,问的实在是太变态了...
  • 周易解读:两仪01
  • 高德地图怎么定位自己的店铺位置?
  • VHDL基本结构和逻辑示例
  • libevent_structure
  • 图像及视频的基本操作
  • 西门子S7-200 SMART选型指南之电源需求
  • SQL Server LocalDB 表数据中文乱码问题
  • 代码训练营 day32|LeetCode 122,LeetCode 55,LeetCode 45,LeetCode 1005
  • 金融信用评分卡建模项目:AI辅助