(一)htaccess文件解析漏洞
Apache中当上传到文件全部被解析为,jpg的后缀时。可以尝试一下后缀为htaccess的文件,代码如下
AppType application/x-httpd-php .jpg
代码的含义 是 将上传的文件后缀名为.jpg格式的文件以 php格式来解析文件
一般黑名单验证的上传成功几率比较大,白名单什么的并无卵用,先上传这样一个后缀为htaccess的文件,在上传一个.jpg的一句话,这样即使上传的一句话后缀为jpg依然可以连接一句话。
(二)利用Tamper绕过防注入代码
现在的网站除了一些垃圾站之外基本都会有防注入,简单的就是屏蔽掉 ' and or order等等常见的注入词,提示说用户的内容含有非法字符。这时可以使用Sqlmap的Tamper来尝试绕过防注入代码。
具体方法还是看百度提供的技术支持吧qrz....
最后
以上就是明理小熊猫最近收集整理的关于htaccess文件解析漏洞和利用Tamper绕过防注入代码的全部内容,更多相关htaccess文件解析漏洞和利用Tamper绕过防注入代码内容请搜索靠谱客的其他文章。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
![[Java代码审计]—文件上传漏洞环境配置前置知识常见文件上传方式文件上传漏洞防御代码审计中常见文件上传关键字参考链接](https://file2.kaopuke.com:8081/files_image/reation/bcimg9.png)
发表评论 取消回复