2018Web攻防训练营文件上传-图片Webshell上传1.图片Webshell制作2.上传图片Webshell文件3.文件包含漏洞代码分析4.结合文件包含输出phpinfo课程内容01图片Webshell制作图片Webshell制作在服务端的PHP代码中,对于用户上传的文件做文件类型检查,查看文件格式是否符合上传规范。可以检查文件二进制格式的前几个字节,从而判断文件类型是否正确。针对这种情况可以直接新建要给1.jpg,其中代码内容如下GIF98A02上传图片Webshell文件上传图片Webshell文件将制作好的图片Webshell上传到服务器。其中可能Content-Type验证。修改为image/gif或image/jpg符合当前文件类型的MIME03文件包含漏洞代码分析文件包含漏洞代码分析在PHP中,使用include、require、include_once、require_once函数包含的文件都会被当作PHP代码执行,无论文件的名称是什么,只要符合文件内容符合PHP代码规范,都会被当作PHP代码执行。04结合文件包含输出phpinfo结合文件包含输出phpinfo利用存在文件包含的PHP页面,包含上传的图片Webshell,从而触发Webshell,输出对应的Phpinfo.1.图片Webshell制作2.上传图片Webshell文件3.文件包含漏洞代码分析4.结合文件包含输出phpinfo总结再见欢迎关注Web安全训练营课程
