记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

绕过360主机卫士文件上传防护

2016-06-06 11:15

在测试一个站的时候 发现ewebeditor编辑器一枚

QQ图片20160306172908.jpg



这里修改类型为aaspsp因为EW编辑器会默认过滤一遍

然后我们来上传下试试看

QQ图片20160306173202.png



可以看到 拦截了这里拦截的 并不是文件内容 而是文件扩展名 asp aspx 之类的 都会被拦截

我们来改下再试试看

QQ图片20160306173442.png



对比一下 这里我只是多加了一个1 就轻松绕过

漏洞证明:

在测试一个站的时候 发现ewebeditor编辑器一枚

QQ图片20160306172908.jpg



这里修改类型为aaspsp因为EW编辑器会默认过滤一遍

然后我们来上传下试试看

QQ图片20160306173202.png



可以看到 拦截了这里拦截的 并不是文件内容 而是文件扩展名 asp aspx 之类的 都会被拦截

我们来改下再试试看

QQ图片20160306173442.png



对比一下 这里我只是多加了一个1 就轻松绕过

修复方案:

我是菜逼 我不懂 你们懂


知识来源: www.wooyun.org/bugs/wooyun-2016-0181611

阅读:134184 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“绕过360主机卫士文件上传防护”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云