[渗透测试]保命测试之文件操作篇

释放双眼,带上耳机,听听看~!

前言

其实这样的总结我早就想了,因为看到了太多了不太合规的测试了。(以下仅个人意见,有错误的请各位指出。)

文件操作

文件上传

推荐上传一个访问一次之后自删除的脚本,如果无删除权限时,由于其只输出当前时间,也不会造成太大危害(也方便验证,如果显示当前时间则证明脚本能解析)。

ASP

<% Response.Write now() CreateObject(“Scripting.FileSystemObject“).DeleteFile(server.mappath(Request.ServerVariables(“SCRIPT_NAME“))) %>

ASPX

<%@Page Language=“C#”%> <% Response.Write(DateTime.Now.ToString(“yyyy-MM-dd HH:mm:ss”)); System.IO.File.Delete(Request.PhysicalPath); %>

PHP

<?php date_default_timezone_set(“Asia/Shanghai”); echo date(“Y-m-d H:i:s”,time()); unlink(__FILE__); ?>

JSP

<%@page import=“java.text.*,java.util.*,java.io.*”%> <% SimpleDateFormat df = new SimpleDateFormat(“yyyy-MM-dd HH:mm:ss”); out.println(df.format(new Date())); File file = new File(application.getRealPath(request.getServletPath())); file.delete(); %>

文件删除

自己上传文件,然后删除自己上传文件。如果自己无法上传,则不要测试。(也别删除别人的图标或者README.txt之类的文件)

文件覆盖

自己上传文件,然后覆盖自己上传文件。如果自己无法上传,则不要测试。(也别覆盖别人的图标或者README.txt之类的文件)

原文地址

人已赞赏
代码审计网络安全

“净网2019”打击网络色情,实录渗透某成人“抖音”

2020-4-19 11:38:14

红蓝对抗网络安全

0基础渗透测试入门-Web安全专业术语

2020-4-22 22:19:06

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索