文件上传漏洞

在网站中常常会提供上传文件的功能,但在上传文件时我们可以上传一个恶意文件,比如常见的Weshell文件,可以通过该文件建立网络后门,这类文件上传成功后,便可以通过向网页发出命令,得到网页以及服务端的信息。也可以通过一些shell软件对网页进行连接来控制网站,常见的比如蚁剑,菜刀,weevely(kali系统自带,weevely是可以自动生成shell的),哥斯拉,冰蝎……

文件包含漏洞

编写网页时,编写者为了代码的简洁,避免代码的重复,通常会设置文件包含的功能(也就是可在一个文件中引用其他文件)。文件包含是在动态的包含文件,但是在包含过程中并没有对文件内容进行校验,导致包含了预期之外的文件,从而产生漏洞。

文件包含漏洞分类

本地文件包含漏洞(LFI){1.固定文件名 2.通过动态接口包含 }

远程文件包含漏洞