Phpshell Bypass Safedog(二)

上篇文章(点击即可访问)里面提到了在菜刀层面和代码层面做了相关的加密解密,那有些同学就说了,我不想做加密,我就想用原生态的、最普通的eval菜刀马行不行,当然行!

我们首先来了解下pathinfo伪静态,如果开启的话,我们就可以以下面这种方式访问网页

http://serverName/模块/控制器/操作/[参数名/参数值...]

比如像下面这样

相关的配置方法可以参考thinkphp:http://www.thinkphp.cn/topic/3138.html

首先我们来看下,正常的安全狗都会拦截普通的菜刀

我们加上1.png试试

服务端把我们当模块执行了,但是最终执行的还是ma1.php,而安全狗的过滤规则没写好,认为图片不可能被执行,从而达到了绕过的效果。

原文发布于微信公众号 - 中国白客联盟(China_Baiker)

原文发表时间:2018-09-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏乐享123

Linux Cheat Sheet

1733
来自专栏小狼的世界

Kubernetes基础:编排调度的那些Controllers

Kubernetes提供了很多Controller资源来管理、调度Pod,包括Replication Controller、ReplicaSet、Deploym...

1652
来自专栏C/C++基础

如何扩大C盘空间,转帖至百度空间

迁移临时文件夹,让系统效能全面提升 Windows XP系统默认将“我的文档”、Windows临时文件夹、虚拟内存、IE临时文件夹和程序安装目录等经常使用的文件...

691
来自专栏重庆的技术分享区

在Ubuntu上安装开源邮件服务器-iRedmail

运行自己的邮件服务器有很多好处。它允许您管理邮箱和附件的大小,运行每小时/每日电子邮件备份,查看邮件日志,并允许您自由使用任何可用的域名。缺点通常是安装所有必要...

2.3K2
来自专栏容器云生态

监控利器之nagios原理详解

第一节 Nagios简介 nagios是系统管理人员和运维监控人员必须的工具之一,利用nagios可以监控本地或者远程主机资源, 如磁盘空间,系统负载等情况,...

4038
来自专栏bboysoul

使用Pi Dashboard (Pi 仪表盘)来监控树莓派的资源

我的树莓派搭建了一些服务在上面,所以有时候想看一下树莓派的整体运行概况是怎么样子的,类似zabbix去监控服务器这样,当然树莓派安装不了zabbix,所以我在网...

1763
来自专栏Python中文社区

如何简单高效地部署和监控分布式爬虫项目

1、请先确保所有主机都已经安装和启动 Scrapyd,如果需要远程访问 Scrapyd,则需将 Scrapyd 配置文件中的 bind_address 修改为 ...

2074
来自专栏贾鹏辉的技术专栏@CrazyCodeBoy

React Native发布APP之签名打包APK

React Native发布APP之签名打包APK ---- 用React Native开发好APP之后,如何将APP发布以供用户使用呢?一款APP的发布流程...

2625
来自专栏Golang语言社区

beego如何做到XSRF防护

跨站请求伪造(Cross-site request forgery), 简称为 XSRF,是 Web 应用中常见的一个安全问题。前面的链接也详细讲述了 XSRF...

3888
来自专栏魏艾斯博客www.vpsss.net

军哥 lnmp1.4 测试版一键脚本安装及功能体验

1725

扫码关注云+社区

领取腾讯云代金券