会飞的鱼

奇乐云
首页 » 信息安全 » 构造图片木马,绕过文件内容检测上传木马

构造图片木马,绕过文件内容检测上传木马

一般文件内容验证使用getimagesizeo函数检测,会判断文件是否是一个有效的文件图片,如果是,则允许上传,否则的话不允许上传。将一句话木马插入到一个【合法】的图片文件当中,然后用菜刀远程连接。

    1、选择要上传的木马,将后缀名(.php)改成(.php.jpg),发现此文件不允许上传,服务器对上传的内容进行了检测。

    2、此时我们随便找个图片,与要上传的木马放在同一文件夹下,打开cmd,进入木马所在的文件夹

    3、输入:copy one.jpg/b+lubr.php/a OneLubr.jpg。将lubr.php加入one.jpg里

    4、这时选择OneLubr.jpg并将文件名改成OneLubr.jpg.php,上传,然后访问木马文件

    5、使用菜刀连接木马地址,输入密码、选择脚本类型然后添加。双击添加的shell就可以看到网站的完整目录了

文章如无特别注明均为原创! 作者: 奇乐云, 转载或复制请以 超链接形式 并注明出处 奇乐云's blog - 奇乐云的个人博客
原文地址《 构造图片木马,绕过文件内容检测上传木马》发布于2019-4-1

分享到:
打赏

评论

游客

切换注册

登录

您也可以使用第三方帐号快捷登录

Q Q 登 录
微 博 登 录
切换登录

注册