从受限上传到XSS突破一次文件上传漏洞的迂回战术那天下午的阳光透过百叶窗斜斜地打在显示器上我正百无聊赖地测试一个私人项目的协助请求功能。这个看似普通的表单里藏着一个附件上传点——正是这个不起眼的功能后来让我经历了一次从挫败到惊喜的漏洞挖掘之旅。1. 初探上传点严格的白名单防御第一次接触这个上传功能时我像往常一样先上传了正常的图片文件。服务器返回的响应引起了我的注意{ result: true, message: /UploadFiles/user123/2023/3021d74f18ddasdasd50abe934f.png, code: 0 }关键发现是上传的文件被存放在同源域名下。这意味着如果我能上传恶意文件其危害程度将大大增加。接下来是常规的模糊测试尝试上传.html文件 → 返回不支持该文件类型测试.php、.asp等常见危险扩展 → 同样被拦截使用Burp Intruder进行扩展名爆破 → 触发速率限制经过多次尝试确认了服务器的防御策略白名单机制仅允许jpg、jpeg、png、gif四种扩展名文件重命名上传后自动生成随机文件名基础过滤拒绝包含特殊字符的文件名2. 发现突破口异常扩展名的玄机就在准备放弃Getshell尝试时一个偶然的发现改变了整个方向。我注意到服务器对扩展名的处理有个有趣特性badfile.gif→ 上传成功badfile.foogif→ 上传失败这说明服务器可能只检查最后一个点号后的扩展名且允许扩展名中包含引号等特殊字符。于是构造了如下测试文件-----------------------------6683303835495 Content-Disposition: form-data; nameupload; filenamexss.gif Content-Type: image/png GIF89a htmlscriptalert(XSS);/script/html -----------------------------6683303835495--服务器竟然接受了这个文件虽然它有着.gif扩展名但内容却是HTML代码。更关键的是当用Edge浏览器访问时弹窗出现了——存储型XSS漏洞就这样被触发了。3. 技术原理深度解析3.1 服务器端的校验逻辑通过反复测试我绘制了服务器的校验流程检查项实现方式可绕过性扩展名校验白名单匹配最后一个点号后的后缀中允许特殊字符文件头校验检查前4-8字节是否符合图片格式高可伪造内容扫描无深度内容检测高关键突破点在于伪造合法的图片文件头如GIF89a利用异常扩展名含特殊字符依赖浏览器特性实现最终利用3.2 浏览器MIME嗅探差异不同浏览器对这类文件的处理方式截然不同Chrome/Firefox严格检查完整文件头对异常内容进行预处理不会执行混在图片中的JS代码Edge/IE存在MIME嗅探漏洞根据内容而非声明类型解析文件当检测到HTML标签时会以text/html方式渲染// 典型利用代码结构 GIF89a html script // 可插入更复杂的攻击载荷 alert(document.cookie); /script /html4. 扩展攻击面更多可能的利用方式除了已发现的技巧这类上传漏洞还有多种可能的利用姿势4.1 非常规扩展名利用空格插入如exploit.j pg多重扩展如exploit.png.html特殊编码如exploit.%70%68%70注意这些方法需要根据具体服务器的解析逻辑进行调整不是所有环境都适用4.2 SVG文件的XSS潜力如果服务器允许上传SVG图像可以直接构造svg xmlnshttp://www.w3.org/2000/svg onloadalert(document.domain)/SVG的XSS优势被当作合法图像格式支持完整的JavaScript执行在所有现代浏览器中都有效4.3 结合其他漏洞提升危害CSP绕过如果站点有宽松的CSP策略DOM型XSS配合客户端漏洞实现组合攻击权限提升结合CSRF等漏洞扩大影响范围5. 防御方案与实战建议5.1 开发者防护措施防护层具体措施有效性输入验证严格限制允许的字符集★★★★☆文件校验检查完整文件内容而不仅是头部★★★★★存储隔离将上传文件存放在不同域名下★★★☆☆输出编码对所有动态内容进行适当编码★★★★☆5.2 渗透测试者的方法论永不放弃当主要攻击路径受阻时寻找旁路全面记录详细记录每次测试的请求和响应环境认知了解各种浏览器和服务器特性的差异工具组合善用Burp、FuzzDB等工具提高效率这次经历让我深刻体会到漏洞挖掘往往不是直线前进的过程。那个下午看似失败的Getshell尝试最终却因为对细节的观察和对浏览器特性的了解演变成了一次成功的XSS发现。在安全测试中灵活变通的思维和坚持不懈的态度有时比掌握某个具体的技术点更为重要。
从一次失败的Getshell到成功的XSS:我的文件上传漏洞挖掘复盘笔记
发布时间:2026/5/26 8:05:17
从受限上传到XSS突破一次文件上传漏洞的迂回战术那天下午的阳光透过百叶窗斜斜地打在显示器上我正百无聊赖地测试一个私人项目的协助请求功能。这个看似普通的表单里藏着一个附件上传点——正是这个不起眼的功能后来让我经历了一次从挫败到惊喜的漏洞挖掘之旅。1. 初探上传点严格的白名单防御第一次接触这个上传功能时我像往常一样先上传了正常的图片文件。服务器返回的响应引起了我的注意{ result: true, message: /UploadFiles/user123/2023/3021d74f18ddasdasd50abe934f.png, code: 0 }关键发现是上传的文件被存放在同源域名下。这意味着如果我能上传恶意文件其危害程度将大大增加。接下来是常规的模糊测试尝试上传.html文件 → 返回不支持该文件类型测试.php、.asp等常见危险扩展 → 同样被拦截使用Burp Intruder进行扩展名爆破 → 触发速率限制经过多次尝试确认了服务器的防御策略白名单机制仅允许jpg、jpeg、png、gif四种扩展名文件重命名上传后自动生成随机文件名基础过滤拒绝包含特殊字符的文件名2. 发现突破口异常扩展名的玄机就在准备放弃Getshell尝试时一个偶然的发现改变了整个方向。我注意到服务器对扩展名的处理有个有趣特性badfile.gif→ 上传成功badfile.foogif→ 上传失败这说明服务器可能只检查最后一个点号后的扩展名且允许扩展名中包含引号等特殊字符。于是构造了如下测试文件-----------------------------6683303835495 Content-Disposition: form-data; nameupload; filenamexss.gif Content-Type: image/png GIF89a htmlscriptalert(XSS);/script/html -----------------------------6683303835495--服务器竟然接受了这个文件虽然它有着.gif扩展名但内容却是HTML代码。更关键的是当用Edge浏览器访问时弹窗出现了——存储型XSS漏洞就这样被触发了。3. 技术原理深度解析3.1 服务器端的校验逻辑通过反复测试我绘制了服务器的校验流程检查项实现方式可绕过性扩展名校验白名单匹配最后一个点号后的后缀中允许特殊字符文件头校验检查前4-8字节是否符合图片格式高可伪造内容扫描无深度内容检测高关键突破点在于伪造合法的图片文件头如GIF89a利用异常扩展名含特殊字符依赖浏览器特性实现最终利用3.2 浏览器MIME嗅探差异不同浏览器对这类文件的处理方式截然不同Chrome/Firefox严格检查完整文件头对异常内容进行预处理不会执行混在图片中的JS代码Edge/IE存在MIME嗅探漏洞根据内容而非声明类型解析文件当检测到HTML标签时会以text/html方式渲染// 典型利用代码结构 GIF89a html script // 可插入更复杂的攻击载荷 alert(document.cookie); /script /html4. 扩展攻击面更多可能的利用方式除了已发现的技巧这类上传漏洞还有多种可能的利用姿势4.1 非常规扩展名利用空格插入如exploit.j pg多重扩展如exploit.png.html特殊编码如exploit.%70%68%70注意这些方法需要根据具体服务器的解析逻辑进行调整不是所有环境都适用4.2 SVG文件的XSS潜力如果服务器允许上传SVG图像可以直接构造svg xmlnshttp://www.w3.org/2000/svg onloadalert(document.domain)/SVG的XSS优势被当作合法图像格式支持完整的JavaScript执行在所有现代浏览器中都有效4.3 结合其他漏洞提升危害CSP绕过如果站点有宽松的CSP策略DOM型XSS配合客户端漏洞实现组合攻击权限提升结合CSRF等漏洞扩大影响范围5. 防御方案与实战建议5.1 开发者防护措施防护层具体措施有效性输入验证严格限制允许的字符集★★★★☆文件校验检查完整文件内容而不仅是头部★★★★★存储隔离将上传文件存放在不同域名下★★★☆☆输出编码对所有动态内容进行适当编码★★★★☆5.2 渗透测试者的方法论永不放弃当主要攻击路径受阻时寻找旁路全面记录详细记录每次测试的请求和响应环境认知了解各种浏览器和服务器特性的差异工具组合善用Burp、FuzzDB等工具提高效率这次经历让我深刻体会到漏洞挖掘往往不是直线前进的过程。那个下午看似失败的Getshell尝试最终却因为对细节的观察和对浏览器特性的了解演变成了一次成功的XSS发现。在安全测试中灵活变通的思维和坚持不懈的态度有时比掌握某个具体的技术点更为重要。
相关文章
GitHub中文界面终极指南:3分钟让GitHub操作效率提升50%
GitHub中文界面终极指南:3分钟让GitHub操作效率提升50% 【免费下载链接】github-chinese GitHub 汉化插件,GitHub 中文化界面。 (GitHub Translation To Chinese) 项目地址: https://gitcode.com/gh_mirrors/gi/github-chinese 你是否曾经因为Git…
金融练习靶场:零风险实战模拟交易平台
金融练习靶场是一个模拟的YH系统的部分功能、模拟数字化金融实训平台。它通过模拟真实市场的行情数据、交易规则和结算机制,为学习者、开发者和分析师提供一个可以大胆试错、反复演练的"沙盒"环境。不同于传统的金融课程或静态案例分析,靶场的…
构建团队心理安全感:从核心理念到工程化实践指南
1. 项目概述:从零构建心理安全感“Building Psychological Safety From the Ground Up”这个标题,直译过来是“从零开始构建心理安全感”。乍一听,这像是一个心理学或组织行为学的理论课题,离我们一线从业者的日常有点远。但如果你…
5步打造Windows掌机终极控制体验:HandheldCompanion完整指南
5步打造Windows掌机终极控制体验:HandheldCompanion完整指南 【免费下载链接】HandheldCompanion ControllerService 项目地址: https://gitcode.com/gh_mirrors/ha/HandheldCompanion 想要在Windows掌机上获得媲美主机的手柄体验吗?厌倦了游戏对…
如何快速实现微博图片批量采集:终极效率提升指南
如何快速实现微博图片批量采集:终极效率提升指南 【免费下载链接】weiboPicDownloader Download weibo images without logging-in 项目地址: https://gitcode.com/gh_mirrors/we/weiboPicDownloader 还在为保存微博图片而烦恼吗?面对心仪博主的精…
保姆级教程:用Docker Compose一键部署RuoYi-Vue-Plus(含MySQL 8和Redis 7)
容器化部署RuoYi-Vue-Plus全栈解决方案:从零到生产的Docker Compose实践在当今快速迭代的开发环境中,传统的手动部署方式正逐渐被容器化技术所取代。对于采用前后端分离架构的RuoYi-Vue-Plus这类企业级快速开发框架而言,Docker Compose提供了…
OpenAI与Anthropic IPO对决:AI巨头商业模式、成本与估值深度解析
1. 项目概述:一场定义未来的资本与技术对决如果你在科技创投圈或者关注前沿技术,最近两年耳朵里一定灌满了OpenAI和Anthropic这两个名字。它们不仅仅是当下最炙手可热的人工智能公司,更是被市场普遍视为将在2026年左右引爆资本市场的“双子星…
MCP 2026漏洞修复七步法:工控网关JWT令牌溢出RCE实战指南
1. 这不是普通补丁——MCP 2026漏洞的本质与为什么必须7步闭环MCP 2026不是CVE编号,也不是某个开源库的版本号,它是工业控制领域一个广泛部署的**多协议网关中间件平台(Multi-Protocol Convergence Platform)**在2026年3月发布的紧…
SVM实战避坑指南:用sklearn做分类时,你的数据标准化和核函数选对了吗?
SVM实战避坑指南:数据标准化与核函数选择的深度解析当你第一次用SVM完成分类任务时,可能会觉得模型表现不错。但随着项目深入,突然发现准确率波动大、训练速度慢、甚至出现过拟合——这些问题的根源往往藏在两个看似简单的环节里:…
Claude Code Skill动态发现机制全解析:为什么你的AI会自动执行代码
文章目录前言一、那个让我怀疑AI成精的自动commit事件二、静态注入:Claude偷偷给模型塞的小纸条三、Skill工具:模型自己给自己发指令的自导自演四、动态注入:Skill集合变了怎么办?五、语义匹配注入:当Skill多到烧不起t…
ssm高校普法系统(10101)
有需要的同学,源代码和配套文档领取,加文章最下方的名片哦 一、项目演示 项目演示视频 二、资料介绍 完整源代码(前后端源代码SQL脚本)配套文档(LWPPT开题报告/任务书)远程调试控屏包运行一键启动项目&…
强化学习策略参数调节方法及值迭代算法实现 CS188 Proj3 学习笔记
强烈推荐的更好的阅读体验 Q1.Value Iteration 第一个问题是最基础的值迭代实现,这个问题没有什么难度,主要就是一边看着公式一遍敲代码复现。可以先回顾一下Note8中的Value Iteration框架.唯一唯一需要注意的就是需要使用的是batch版本,而…
施工现场安全事故预警准确率达94.6%?——解密某央企AI Agent边缘计算部署架构与3个月落地实录
更多请点击: https://codechina.net 第一章:施工现场安全事故预警准确率达94.6%?——解密某央企AI Agent边缘计算部署架构与3个月落地实录 在华北某大型地铁盾构施工现场,一套轻量化AI Agent系统于2024年Q2完成全栈部署ÿ…
附录 B:术语表
本术语表面向“从 MM 到 HMM”专栏阅读过程中的快速查阅。它不是内核 API 手册,而是把文章中反复出现的概念放到同一张地图上:先给出直观含义,再说明它在 Linux MM/HMM 语境里的作用。建议阅读方式: 初读专栏时,把它当…
Midjourney渐变美学的神经渲染原理(附RGB-HSV-LCH三空间渐变映射对照表·行业首曝)
更多请点击: https://kaifayun.com 第一章:Midjourney渐变美学的神经渲染原理(附RGB-HSV-LCH三空间渐变映射对照表行业首曝) Midjourney 的渐变美学并非传统插值实现,而是由其隐式神经渲染器(Implicit Neu…
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案 【免费下载链接】MPC-BE MPC-BE – универсальный проигрыватель аудио и видеофайлов для операционной системы Windows. 项目地址:…
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南 【免费下载链接】STL-Volume-Model-Calculator STL Volume Model Calculator Python 项目地址: https://gitcode.com/gh_mirrors/st/STL-Volume-Model-Calculator 你是否曾经为3D打印项目…
通过Taotoken CLI工具一键配置团队开发环境与模型密钥
通过Taotoken CLI工具一键配置团队开发环境与模型密钥 1. CLI工具安装与基本使用 Taotoken提供的CLI工具可通过npm全局安装或直接使用npx运行。对于需要频繁使用CLI的团队,推荐全局安装: npm install -g taotoken/taotoken对于临时使用或项目级配置&a…