全球主机交流论坛

标题: 代刷网上传绕过分析 [打印本页]

作者: lzhd24 时间: 2018-6-6 18:07
提示: 作者被禁止或删除内容自动屏蔽

作者: spanfkyous 时间: 2018-6-6 18:09
厉害厉害会安全分析的大佬

作者: lzhd24 时间: 2018-6-6 18:13
提示: 作者被禁止或删除内容自动屏蔽

作者: 风铃 时间: 2018-6-6 18:16
本帖最后由风铃于 2018-6-6 18:22 编辑

这是后门吧那里是bug, .....
那个ifelse的逻辑不是png的话, 就从<,>开始取3位当做后缀,
难道是打错了 . 打成 , 了

还有就是为什么要取 3位? 明明后缀里面还有各种webp jpeg 这种四位字母的
我说垃圾代码还有人喷我, 难不成这样的代码不是垃圾代码?

再有就是取后缀是用 stripos 吗

作者: lzhd24 时间: 2018-6-6 18:22
提示: 作者被禁止或删除内容自动屏蔽

作者: modianxia 时间: 2018-6-6 18:32
想知道如何进后台，我要来个QQ vip全家福

作者: lzhd24 时间: 2018-6-6 18:36
提示: 作者被禁止或删除内容自动屏蔽

作者: modianxia 时间: 2018-6-6 18:41

lzhd24 发表于 2018-6-6 18:36
大佬。还记得钻皇不？。哈哈哈，

记得，现在好像没有了啊

作者: lzhd24 时间: 2018-6-6 18:46
提示: 作者被禁止或删除内容自动屏蔽

作者: uufeng 时间: 2018-6-6 19:03

风铃发表于 2018-6-6 18:16
这是后门吧那里是bug, .....
那个ifelse的逻辑不是png的话, 就从开始取3位当做后缀,
难道是打错了 . 打 ...

logo处传大马.php，访问的不是：assets/img/大马.php 而是assets/img/logo.php

set.php?mod=upimg有个限制，上传后的名字改为logo.自定义什么的

(, 下载次数: 0)

作者: 优秀的苦瓜 时间: 2018-6-6 19:06
提示: 作者被禁止或删除内容自动屏蔽

作者: lzhd24 时间: 2018-6-6 20:06
提示: 作者被禁止或删除内容自动屏蔽

作者: lwsg1987 时间: 2018-6-6 20:11
上传部分都是重点，这么低级的错误感觉像故意的…十年前我搞这个的时候都不敢自己写过滤，基本都是抄我觉得牛逼的高手的

作者: lzhd24 时间: 2018-6-6 21:05
提示: 作者被禁止或删除内容自动屏蔽

作者: wenguonideshou 时间: 2018-6-6 21:41
这是什么源码的？

作者: 海峰 时间: 2018-6-12 23:18
提示: 作者被禁止或删除内容自动屏蔽

欢迎光临全球主机交流论坛 (https://lilynana.eu.org/)