命令注入和文件上传分析

命令注入

将安全等级改成low

输入127.0.0.1的地址

输入拼接命令，可以输出想要的结果

查看源码，安全性很低，无过滤

换成中级的（有一定过滤）

在源码中，可以看到&&和；都被过滤为空白，无法识别

但是可以利用或||

当前面的条件正确，则执行

前面的条件错误，则执行后面的

换成高级的

文件上传

低级

不会对文件做任何检测，任何文件（安全和不安全）都可以直接上传

只定义了文件的存储位置

成功上传

并且可以执行

中级

可以看到只能上传图片类型的文件

图片的类型是image/jpeg

将修改Content-Type：image/jpeg

上传成功

也可以正常执行