文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。俗话说,知己知彼方能百战不殆,因此想要研究怎么防护漏洞,就要了解怎么去利用。
文件上传绕过
1.客户端绕过(抓包改包) 2.服务端绕过 3.文件类型 4.文件头 5.文件后缀名 6.配合文件包含漏洞绕过 7.配合服务器解析漏洞绕过 8.CMS、编辑器漏洞绕过 9.配合操作系统文件命名规则绕过 10.配合其他规则绕过 11.WAF绕过