文件上传-竞争条件

文件上传过程介绍
文件上传过程
文件上传-竞争条件_第1张图片
例如php的move_uploaded进行临时文件的重命名。
竞争条件原理介绍
网站逻辑:
1、网站允许上传任意文件,然后检查上传文件是否包含webshell,如果包含删除该文件。
2、网站允许上传任意文件,但是如果不是指定类型,那么使用unlink删除文件。
在删除之前访问上传的php文件,从而执行上传文件中的php代码。
例如:上传文件代码如下

');?>

竞争条件代码举例
文件上传-竞争条件_第2张图片
先进行文件上传,后进行判断与删除。利用时间差进行webshell上传。
竞争条件文件上传利用
提前不断访问代码文件,然后上传,最终使用菜刀连接一句话webshell。
python发送http请求:
import requests
while true:
requests.get(”路径“)
文件上传-竞争条件_第3张图片

你可能感兴趣的:(文件上传)