当前位置: 首页 > news >正文

文件上传漏洞--Upload-labs--Pass07--点绕过

news 2025/7/6 3:11:33

一、什么是点绕过

在Windows系统中,Windows特性会将文件后缀名后多余的点自动删除,在网页源码中,通常使用 deldot()函数 对点进行去除,若发现网页源代码中没有 deldot() 函数,则可能存在 点绕过漏洞。通过点绕过漏洞,可以达到上传含有恶意代码的文件的目的。

二、通关思路

1、首先进行代码审计,发现网页源代码中缺少对点的处理,即 deldot() 函数,可以进行点绕过。

2、上传 test.php 文件,在filename中 .php加点,改为: .php. 。

3、发包,上传成功,在新标签页中打开。

我们看到php代码没有被执行,这是因为我们的url中php后多了一个点,这个点是我们为了绕过黑名单自己加的,我们需要把这个点删掉。

删掉点之后,php代码成功执行。

---通关。 

http://www.lryc.cn/news/301608.html

相关文章:

  • MySQL高级特性篇(1)-JSON数据类型的应用
  • 如何用Qt实现一个无标题栏、半透明、置顶(悬浮)的窗口
  • ViT: transformer在图像领域的应用
  • Sora 的工作原理(及其意义)
  • Java学习笔记2024/2/16
  • XLNet做文本分类
  • Swift 5.9 新 @Observable 对象在 SwiftUI 使用中的陷阱与解决
  • 分享一个学英语的网站
  • 【动态规划】【C++算法】2742. 给墙壁刷油漆
  • 【后端高频面试题--设计模式上篇】
  • P3141 [USACO16FEB] Fenced In P题解
  • Android Compose 一个音视频APP——Magic Music Player
  • Nginx实战:安装搭建
  • Qt之条件变量QWaitCondition详解(从使用到原理分析全)
  • OpenSource - 一站式自动化运维及自动化部署平台
  • 【后端高频面试题--设计模式下篇】
  • 这才是大学生该做的副业,别再痴迷于游戏了!
  • Ubuntu20.04 安装jekyll
  • AWK语言
  • 精通Nmap:网络扫描与安全的终极武器
  • Java 学习和实践笔记(11)
  • 开发实体类
  • 人工智能学习与实训笔记(十五):Scikit-learn库的基础与使用
  • 插值与拟合算法介绍
  • 下一代Windows系统曝光:基于GPT-4V,Agent跨应用调度,代号UFO
  • 二.自定义头文件
  • 【AIGC】Stable Diffusion之模型微调工具
  • 探索未来科技前沿:深度学习的进展与应用
  • PTA | Wifi密码
  • Linux中gdb使用说明书