你好,我拿到一个php网站后台,,他上传只支持jpg和gif两种形式,我要怎么传马??
1个回答
展开全部
利用图片上传漏洞上传木马是入侵网站中是比较常见的,不过你拿到图片上传权限也不代表就能上传木马,这主要还得取决于目标网站的程序是否检查严格。
一般常见的传马方式有很多,例如将木马文件名改为 "文件名.asp;.jpg" 伪装成JPG文件上传,这是利用了IIS6的解析漏洞,他会将该文件当成asp文件运行。
还有如果有创建目录的权限,你可以先创建一个格式为"xxx.asp"的文件夹,然后将木马的后缀改为JPG或GIF,上传之改文件夹,访问的时候,虽然你访问的文件后缀的JPG或GIF,IIS6也会将你上传的图片文件当成ASP文件执行的.
当然,方法还有很多,但是所有方法都不是通用的,需要根据程序和服务器的具体情况来使用相应的方法或组合这些方法。
如果你对服务器和程序的信息不了解,你可也以先用各种方法不断的尝试,这样有几率成功,而且在不断的尝试过程中,可以综合出一些相关信息,从而更能有效的组织下一次的尝试方案。
一般常见的传马方式有很多,例如将木马文件名改为 "文件名.asp;.jpg" 伪装成JPG文件上传,这是利用了IIS6的解析漏洞,他会将该文件当成asp文件运行。
还有如果有创建目录的权限,你可以先创建一个格式为"xxx.asp"的文件夹,然后将木马的后缀改为JPG或GIF,上传之改文件夹,访问的时候,虽然你访问的文件后缀的JPG或GIF,IIS6也会将你上传的图片文件当成ASP文件执行的.
当然,方法还有很多,但是所有方法都不是通用的,需要根据程序和服务器的具体情况来使用相应的方法或组合这些方法。
如果你对服务器和程序的信息不了解,你可也以先用各种方法不断的尝试,这样有几率成功,而且在不断的尝试过程中,可以综合出一些相关信息,从而更能有效的组织下一次的尝试方案。
来自:求助得到的回答
已赞过
已踩过<
你对这个回答的评价是?
AiPPT
2024-09-19 广告
作为北京饼干科技有限公司的工作人员,关于AIPPT免费生成PPT的功能,我可以简要介绍如下:AIPPT是一款基于人工智能技术的PPT制作工具,它为用户提供了免费生成PPT的便捷服务。用户只需简单输入PPT的主题或内容大纲,AIPPT便能智能...
点击进入详情页
本回答由AiPPT提供
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
