4 7 File Read & Download & Delete

作者: 沉云

简介

这几个和文件相关的操作和文件包含很类似。区别是出现的场景不同,以及造成的影响不同。

文件包含,包含后门文件,执行 webshell。

文件读取/下载,可以读取/下载到敏感文件。

文件删除,删除重要文件。

攻击

  1. 探测入口,注意数据包中的敏感参数。显而易见的参数名,参数值的形式。

  2. 突破常见防御形式。

    都是标识一个文件,只不过对文件执行的操作不同。所以和上一篇博文(文件包含)中的突破方式一样。

  3. 利用。

    可以尝试对不同层次的敏感文件进行操作。

    cms 敏感文件。例如 thinkphp 的配置文件。

    编程语言的敏感文件。例如 jsp 中的 WEB-INF 文件夹

    中间件的敏感文件。例如 apache 配置文件

    操作系统的敏感文件。/etc/passwd 等等

下面是部分常见的敏感文件 linux 上敏感文件 windows 上敏感文件

原文创作:沉云

原文链接:https://www.cnblogs.com/starrys/p/14660378.html

更多推荐

更多
这里什么都没有

近期文章

更多
文章目录

    推荐作者

    更多