入侵中,上传的html文件有什么实际的利用技巧
Hxai11 (求工作) | 2014-05-05 19:34
总感觉html文件在入侵中没什么特别用处,大家说说,记得以前有一个通过html文件查看目录中其他文件的源代码的。。。
相关吐槽:
1#
′ 雨。 | 2014-05-05 19:39
你说的是shtml吧
2#
疯狗 (你在乌云这么叼,你家人知道么?) | 2014-05-05 19:40
我觉得上传HTML文件跟一个持久XSS区别不是太大,影响也许就是XSS的奇技淫巧罢,客户端浏览器的攻击。
不过有点不同就是可信域下的HTML对于用户信任和反欺诈规则中可能更恶心一些。
3#
Hxai11 (求工作) | 2014-05-05 19:42
@疯狗 比如上传一个html,写入一些xss,之后利用各种方法让对方访问到之后呵呵呵?
4#
xsser (十根阳具有长短!!) | 2014-05-05 19:47
xss后门
5#
疯狗 (你在乌云这么叼,你家人知道么?) | 2014-05-05 19:48
@Hxai11 嗯,还是在当前域下做一些小动作吧,攻击客户端。
6#
Hxai11 (求工作) | 2014-05-05 19:54
@′ 雨。 就知道shtml有个包含可以利用一下,其他还真没想到什么
7#
x0ers (第一个知道牛奶能喝的人都对奶牛做了些什么?) | 2014-05-05 19:56
@Hxai11 shtml可以直接写php代码进去,他会和执行php一样.
8#
LaiX ([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+(!![]+[])[+[[+[]]]]+(!![]+[])[+[[!+[]+!+[]+!+[]]]]+(!![]+[])[+[[+!+[]]]]][([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+) | 2014-05-05 19:59
将此HTML伪装成后台以及其他可信任网页,欺骗管理员、构造XSS后门,劫持管理员、劫持用户,盗取信息等。
9#
Hxai11 (求工作) | 2014-05-05 20:00
@LaiX 这个,呵呵,有点经验的应该都能看出来吧
10#
淡漠天空 | 2014-05-05 20:12
@xsser @疯狗 html可以上传文件(html,jsp,php,asp)吧 我记得貌似。。。。。
11#
U神 (我的乌云币:3) | 2014-05-05 20:12
挂黑页装逼是不错的~
12#
LaiX ([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+(!![]+[])[+[[+[]]]]+(!![]+[])[+[[!+[]+!+[]+!+[]]]]+(!![]+[])[+[[+!+[]]]]][([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+) | 2014-05-05 20:56
@Hxai11 凡事不要想的那么极端
13#
蟋蟀哥哥 (̷ͣ̑̆ͯ̆̋͋̒ͩ͊̋̇̒ͦ̿̐͞҉̷̻̖͎̦̼) | 2014-05-05 21:00
构造代码。
14#
Hxai11 (求工作) | 2014-05-05 21:15
@xsser @疯狗 @淡漠天空 静态网页可以构造表单?影像中好像不行吧
15#
无敌L.t.H (:端异是都乳贫持支Ѿ乳巨是须必神肉) | 2014-05-05 21:26
本地包含、钓鱼什么的。
16#
Xser233 | 2014-05-05 21:44
上床index.html呗
17#
银冥币 (养成了一个习惯.见框就x,见站就x,我爱X) | 2014-05-05 21:51
@淡漠天空 ......HTML上传文件是把文件post到了aspphp之类的服务器语言,或者是服务器组件之类的东西上
18#
Fate (nixi) | 2014-05-05 22:04
@淡漠天空 单单的html无法完成上传这一类功能,表单中的action地址是接收数据并且真正做处理的地方。
19#
淡漠天空 | 2014-05-05 23:02
@银冥币 @Fate html通过表单参数上传。。类似于FCK。。当然知道 但是构造起来并不难吧 原谅我没说完 逗比 快去写工具 几个月了 小心告诉你老板扣你工资
20#
银冥币 (养成了一个习惯.见框就x,见站就x,我爱X) | 2014-05-05 23:17
@淡漠天空 通过表单参数上传,上传到哪?还不是到服务器动态语言和组件那吗...
21#
淡漠天空 | 2014-05-05 23:47
@银冥币 也是哦 最终还是组件环境的问题 题目是上传的html文件有什么实际的利用技巧 但是我会用html留后门 完全不对题。。。卧槽
22#
小猪 | 2014-05-06 00:10
@淡漠天空 神一样的台阶。。。html是浏览器执行的 放在服务器上跟放在你自己的c盘没区别
23#
tenzy (一个傻逼在上我号 不是本人) | 2014-05-06 00:28
@淡漠天空 不懂就不要装懂啦,html是客户端解析的,拿去上传给谁? 还说别人逗比呢。真是呵呵了
24#
淡漠天空 | 2014-05-06 00:34
@小猪 没实操过 我只知道html构造参数通过表单及环境是可以留后门的 菜刀玩过 个人理解 还真不用台阶下 因为对html本就不熟悉 请叫我逗比就好
25#
淡漠天空 | 2014-05-06 00:38
@tenzy 我什么时候说懂了 请在我所有言论里找到我说懂或者说会的话 我又不是程序员 逗比 不谢
26#
冷冷的夜 (预备唱:希望你过的没我好,死得比我早,吃不好也睡不) | 2014-05-06 01:56
@淡漠天空 无言..
27#
淡漠天空 | 2014-05-06 02:25
@冷冷的夜 ? 学建筑的 职业搬砖 不是程序猿 我上面用的词是貌似吧 我就想表达下html可以构造可以上传 麻痹 一群人跟我说原理 听起来就感觉好牛逼的样子 膜拜
28#
TMaMba | 2014-05-06 09:25
1. xss后门
2. 利用ssi注入可以远程执行命令,getshell
29#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-05-06 10:29
“记得以前有一个通过html文件查看目录中其他文件的源代码的。。。 ”
孩纸,你程序咋学的……
-_-|||
1、挂黑页装逼
2、长期储存性xss后门,可用来钓鱼、管理员之类的。。。
3、做黑帽SEO……
30#
暴暴 | 2014-05-06 10:35
@核攻击 哈哈。感觉前面说的挂个INDEX.htm拿去忽悠人不错,不要把网址打全了,点的人应该多。
31#
xiaoL (http://www.xlixli.net) | 2014-05-06 11:42
说了这么多
有给贴个实际案例出来不
特别是xss后门这种的...
32#
Hxai11 (求工作) | 2014-05-06 11:57
@核攻击 哈哈,貌似是html include
33#
Hxai11 (求工作) | 2014-05-06 11:58
@xiaoL 对啊,我觉得应该@gainover
34#
xsser (十根阳具有长短!!) | 2014-05-06 12:34
@xiaoL 乌云案例都有的 腾讯就很多
35#
草榴社区 | 2014-05-06 12:55
@淡漠天空 开玩乐.
36#
F4K3R | 2014-05-06 14:43
来来来!欢乐一把!曾经看到个超级无敌高大上!宇宙第一!超级html木马
链接http://cache.baiducontent.com/c?m=9f65cb4a8c8507ed4fece763104c8c711923d030678197027fa3c215cc790c011c37bcff653f405a8e90613c47f81641bda16078340126b399cf8d4d89e898237f887731264d874205d36ef58d197bd621e40ea9f246f0bb8670d2ba978e9f025c90155a2497f1fb4d7616dd1cf30340e3b1ee3e&p=cb7a861a9e904ead08e2977d064c89&newp=882a9646ddd912a05abae62a524186231615d70e3fddd51165&user=baidu&fm=sc&query=html%D0%A1%C2%ED&qid=&p1=5~
37#
B1uH4ck | 2014-05-06 19:17
@F4K3R 此文小伙太逗比
38#
兜兜 (~) | 2014-05-13 14:22
“入侵中”,这个不好听啊少年
39#
北洋贱队 | 2014-05-14 14:04
@淡漠天空 HyperText Mark-up Language 认识嘛?
如你所说,“记得以前有一个通过html文件查看目录中其他文件的源代码的。。。 ”
那你就发现一个可以载入史册的bug,可能会发给你一个诺贝尔
40#
淡漠天空 | 2014-05-14 14:37
@北洋贱队 不是黑客 肯定不认识啊 你要来打我么?
看清楚这句话“记得以前有一个通过html文件查看目录中其他文件的源代码的。。。 ”谁说的 我TM就说个思维 用词很委婉吧 一群逗比没完了?
41#
北洋贱队 | 2014-05-14 19:16
@淡漠天空 傻逼,你以为大家回复你是抬举你了,草泥马得傻逼,丢人现眼不受教的东西
42#
疯子 (世人笑我太疯癫,我笑世人看不穿。) | 2014-05-14 19:22
@北洋贱队 嘴够狠的啊,和谐社区,和谐社会!
43#
Mosuan (人为了保护重要的人,会变得格外的坚强) | 2014-05-14 19:25
@淡漠天空 @北洋贱队 我觉得吧,这样说确实不对,人家只是说记得而已,你们一群人就围攻,你没体会过菜比的感觉?
44#
Hxai11 (求工作) | 2014-05-14 19:38
@Mosuan 高端黑
45#
godlong | 2014-05-14 21:29
看了这个帖子的一些回复,我觉得我以前的知识很多都被颠覆了。
.........
46#
温柔杀手 | 2014-05-14 23:54
@北洋贱队 我一直觉得骂人的傻比都很可爱。是不是,可爱的娃。来日我吧。马甲求日。别人也许不懂,也许表达不到位,你逼个没完是不是有点不妥?
留言评论(旧系统):