在线员工后台网站建设,南海做网站,郑州建设网站有哪些,广州网站建设的地方推荐实战-任意文件下载
1、开局
开局一个弱口令#xff0c;正常来讲我们一般是弱口令或者sql#xff0c;或者未授权 那么这次运气比较好#xff0c;直接弱口令进去了 直接访问看看有没有功能点#xff0c;正常做测试我们一定要先找功能点
发现一个文件上传点#xff0c;不…实战-任意文件下载
1、开局
开局一个弱口令正常来讲我们一般是弱口令或者sql或者未授权 那么这次运气比较好直接弱口令进去了 直接访问看看有没有功能点正常做测试我们一定要先找功能点
发现一个文件上传点不过老规矩还是不能解析那么我们有什么方法去扩大危害 1、上传html触发xss弹窗存储型xss 2、上传大文件占用内存空间 3、不停上传造成ddos攻击 4、如果是存储桶可以找找aksk 直接打云或者遍历参数实现下载不同文件
那么这里的话就不太一样了
这个参数是可以我们自己修改的后端没有控制权限所以实现了任意文件下载
2、总结
总的来说除了找功能点还要找传参点尝试去修改传参那么可能就是一个高危
