入侵中,上传的html文件有什么实际的利用技巧

Hxai11 (求工作) | 2014-05-05 19:34

总感觉html文件在入侵中没什么特别用处,大家说说,记得以前有一个通过html文件查看目录中其他文件的源代码的。。。

[原文地址]

相关吐槽:

1#

′ 雨。 | 2014-05-05 19:39

你说的是shtml吧

2#

疯狗 (你在乌云这么叼,你家人知道么?) | 2014-05-05 19:40

我觉得上传HTML文件跟一个持久XSS区别不是太大,影响也许就是XSS的奇技淫巧罢,客户端浏览器的攻击。

不过有点不同就是可信域下的HTML对于用户信任和反欺诈规则中可能更恶心一些。

3#

Hxai11 (求工作) | 2014-05-05 19:42

@疯狗 比如上传一个html,写入一些xss,之后利用各种方法让对方访问到之后呵呵呵?

4#

xsser (十根阳具有长短!!) | 2014-05-05 19:47

xss后门

5#

疯狗 (你在乌云这么叼,你家人知道么?) | 2014-05-05 19:48

@Hxai11 嗯,还是在当前域下做一些小动作吧,攻击客户端。

6#

Hxai11 (求工作) | 2014-05-05 19:54

@′ 雨。 就知道shtml有个包含可以利用一下,其他还真没想到什么

7#

x0ers (第一个知道牛奶能喝的人都对奶牛做了些什么?) | 2014-05-05 19:56

@Hxai11 shtml可以直接写php代码进去,他会和执行php一样.

8#

LaiX ([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+(!![]+[])[+[[+[]]]]+(!![]+[])[+[[!+[]+!+[]+!+[]]]]+(!![]+[])[+[[+!+[]]]]][([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+) | 2014-05-05 19:59

将此HTML伪装成后台以及其他可信任网页,欺骗管理员、构造XSS后门,劫持管理员、劫持用户,盗取信息等。

9#

Hxai11 (求工作) | 2014-05-05 20:00

@LaiX 这个,呵呵,有点经验的应该都能看出来吧

10#

淡漠天空 | 2014-05-05 20:12

@xsser @疯狗 html可以上传文件(html,jsp,php,asp)吧 我记得貌似。。。。。

11#

U神 (我的乌云币:3) | 2014-05-05 20:12

挂黑页装逼是不错的~

12#

LaiX ([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+(!![]+[])[+[[+[]]]]+(!![]+[])[+[[!+[]+!+[]+!+[]]]]+(!![]+[])[+[[+!+[]]]]][([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+) | 2014-05-05 20:56

@Hxai11 凡事不要想的那么极端

13#

蟋蟀哥哥 (̷ͣ̑̆ͯ̆̋͋̒ͩ͊̋̇̒ͦ̿̐͞҉̷̻̖͎̦̼) | 2014-05-05 21:00

构造代码。

14#

Hxai11 (求工作) | 2014-05-05 21:15

@xsser @疯狗 @淡漠天空 静态网页可以构造表单?影像中好像不行吧

15#

无敌L.t.H (:‮端异是都乳贫持支Ѿ乳巨是须必神肉) | 2014-05-05 21:26

本地包含、钓鱼什么的。

16#

Xser233 | 2014-05-05 21:44

上床index.html呗

17#

银冥币 (养成了一个习惯.见框就x,见站就x,我爱X‮) | 2014-05-05 21:51

@淡漠天空 ......HTML上传文件是把文件post到了aspphp之类的服务器语言,或者是服务器组件之类的东西上

18#

Fate (nixi) | 2014-05-05 22:04

@淡漠天空 单单的html无法完成上传这一类功能,表单中的action地址是接收数据并且真正做处理的地方。

19#

淡漠天空 | 2014-05-05 23:02

@银冥币 @Fate html通过表单参数上传。。类似于FCK。。当然知道 但是构造起来并不难吧 原谅我没说完 逗比 快去写工具 几个月了 小心告诉你老板扣你工资

20#

银冥币 (养成了一个习惯.见框就x,见站就x,我爱X‮) | 2014-05-05 23:17

@淡漠天空 通过表单参数上传,上传到哪?还不是到服务器动态语言和组件那吗...

21#

淡漠天空 | 2014-05-05 23:47

@银冥币 也是哦 最终还是组件环境的问题 题目是上传的html文件有什么实际的利用技巧 但是我会用html留后门 完全不对题。。。卧槽

22#

小猪 | 2014-05-06 00:10

@淡漠天空 神一样的台阶。。。html是浏览器执行的 放在服务器上跟放在你自己的c盘没区别

23#

tenzy (一个傻逼在上我号 不是本人) | 2014-05-06 00:28

@淡漠天空 不懂就不要装懂啦,html是客户端解析的,拿去上传给谁? 还说别人逗比呢。真是呵呵了

24#

淡漠天空 | 2014-05-06 00:34

@小猪 没实操过 我只知道html构造参数通过表单及环境是可以留后门的 菜刀玩过 个人理解 还真不用台阶下 因为对html本就不熟悉 请叫我逗比就好

25#

淡漠天空 | 2014-05-06 00:38

@tenzy 我什么时候说懂了 请在我所有言论里找到我说懂或者说会的话 我又不是程序员 逗比 不谢

26#

冷冷的夜 (预备唱:希望你过的没我好,死得比我早,吃不好也睡不) | 2014-05-06 01:56

@淡漠天空 无言..

27#

淡漠天空 | 2014-05-06 02:25

@冷冷的夜 ? 学建筑的 职业搬砖 不是程序猿 我上面用的词是貌似吧 我就想表达下html可以构造可以上传 麻痹 一群人跟我说原理 听起来就感觉好牛逼的样子 膜拜

28#

TMaMba | 2014-05-06 09:25

1. xss后门

2. 利用ssi注入可以远程执行命令,getshell

29#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-05-06 10:29

“记得以前有一个通过html文件查看目录中其他文件的源代码的。。。 ”

孩纸,你程序咋学的……

-_-|||

1、挂黑页装逼

2、长期储存性xss后门,可用来钓鱼、管理员之类的。。。

3、做黑帽SEO……

30#

暴暴 | 2014-05-06 10:35

@核攻击 哈哈。感觉前面说的挂个INDEX.htm拿去忽悠人不错,不要把网址打全了,点的人应该多。

31#

xiaoL (http://www.xlixli.net) | 2014-05-06 11:42

说了这么多

有给贴个实际案例出来不

特别是xss后门这种的...

32#

Hxai11 (求工作) | 2014-05-06 11:57

@核攻击 哈哈,貌似是html include

33#

Hxai11 (求工作) | 2014-05-06 11:58

@xiaoL 对啊,我觉得应该@gainover

34#

xsser (十根阳具有长短!!) | 2014-05-06 12:34

@xiaoL 乌云案例都有的 腾讯就很多

35#

草榴社区 | 2014-05-06 12:55

@淡漠天空 开玩乐.

36#

F4K3R | 2014-05-06 14:43

来来来!欢乐一把!曾经看到个超级无敌高大上!宇宙第一!超级html木马

链接http://cache.baiducontent.com/c?m=9f65cb4a8c8507ed4fece763104c8c711923d030678197027fa3c215cc790c011c37bcff653f405a8e90613c47f81641bda16078340126b399cf8d4d89e898237f887731264d874205d36ef58d197bd621e40ea9f246f0bb8670d2ba978e9f025c90155a2497f1fb4d7616dd1cf30340e3b1ee3e&p=cb7a861a9e904ead08e2977d064c89&newp=882a9646ddd912a05abae62a524186231615d70e3fddd51165&user=baidu&fm=sc&query=html%D0%A1%C2%ED&qid=&p1=5~

37#

B1uH4ck | 2014-05-06 19:17

@F4K3R 此文小伙太逗比

38#

兜兜 (~) | 2014-05-13 14:22

“入侵中”,这个不好听啊少年

39#

北洋贱队 | 2014-05-14 14:04

@淡漠天空 HyperText Mark-up Language 认识嘛?

如你所说,“记得以前有一个通过html文件查看目录中其他文件的源代码的。。。 ”

那你就发现一个可以载入史册的bug,可能会发给你一个诺贝尔

40#

淡漠天空 | 2014-05-14 14:37

@北洋贱队 不是黑客 肯定不认识啊 你要来打我么?

看清楚这句话“记得以前有一个通过html文件查看目录中其他文件的源代码的。。。 ”谁说的 我TM就说个思维 用词很委婉吧 一群逗比没完了?

41#

北洋贱队 | 2014-05-14 19:16

@淡漠天空 傻逼,你以为大家回复你是抬举你了,草泥马得傻逼,丢人现眼不受教的东西

42#

疯子 (世人笑我太疯癫,我笑世人看不穿。) | 2014-05-14 19:22

@北洋贱队 嘴够狠的啊,和谐社区,和谐社会!

43#

Mosuan (人为了保护重要的人,会变得格外的坚强) | 2014-05-14 19:25

@淡漠天空 @北洋贱队 我觉得吧,这样说确实不对,人家只是说记得而已,你们一群人就围攻,你没体会过菜比的感觉?

44#

Hxai11 (求工作) | 2014-05-14 19:38

@Mosuan 高端黑

45#

godlong | 2014-05-14 21:29

看了这个帖子的一些回复,我觉得我以前的知识很多都被颠覆了。

.........

46#

温柔杀手 | 2014-05-14 23:54

@北洋贱队 我一直觉得骂人的傻比都很可爱。是不是,可爱的娃。来日我吧。马甲求日。别人也许不懂,也许表达不到位,你逼个没完是不是有点不妥?

留言评论(旧系统):

佚名 @ 2014-05-07 14:05:56

孩纸,你程序咋学的…… 我自学的。。。

本站回复:

-_-|||