任意文件上传漏洞
摘要:漏洞概述 文件上传是web应用的必备功能之一。如果服务器配置不当或者没有足够的过滤,用户就可以上传任意文件,包括恶意脚本,可执行文件等。 WebShell shell俗称"壳"(用来区分核),指为使用者提供操作界面的软件。如win的cmd.exe,linux的bash webshell是网站的后门,
阅读全文
posted @ 2023-10-23 23:10
10 2023 档案
OS命令注入
摘要:原理以及成因 程序员使用脚本语言开发的过程中需要去调用一些外部应用。当应用调用外部应用时就会用到一些系统命令的函数。应用在调用这些函数执行系统命令的时候,如果将用户的输入作为系统命令的参数拼接到命令行中,在没有过滤用户输入的情况下,就会造成命令执行漏洞。 漏洞危害 1.继承web服务器程序权限,去执
阅读全文
posted @ 2023-10-23 23:08
RCE原理及利用
摘要:RCE(remote command/code execuate) 指应用程序过滤不严,用户可以将代码注入到应用中,最后由服务器来运行代码。如果这样的漏洞存在,相当于得到了shell 成因:1.程序中含有可以执行代码的函数或者语言结构;2.传入第一点的参数,客户端可控,直接修改或影响 相关函数及语句
阅读全文
posted @ 2023-10-19 22:51
