1.實(shí)驗(yàn)準(zhǔn)備：卸掉我windows的360安全衛(wèi)士等毒殺，下載中國(guó)菜刀。肉雞:阿里云測(cè)試環(huán)境服務(wù)器

2.實(shí)驗(yàn)大致步驟：編寫php，jsp等一句話木馬（<?php @eval($_POST['chopper']);?>），上傳php腳本或直接寫到服務(wù)器目錄，使用菜刀連接。詳細(xì)參考

3.實(shí)驗(yàn)結(jié)果：

菜刀連接失敗，之前能訪問(wèn)的測(cè)試環(huán)境網(wǎng)址在嘗試菜刀連接后已無(wú)法訪問(wèn)，但是能ping通，打開(kāi)windows 的git bash嘗試curl 訪問(wèn)依然失敗，但是服務(wù)器curl是成功的。使用手機(jī)訪問(wèn)測(cè)試環(huán)境網(wǎng)站是可以的（使用wifi依然不得行，切到手機(jī)流量訪問(wèn)OK）。?應(yīng)該是被阿里云的安全狗等檢測(cè)到了，被封了IP。但是過(guò)了1小時(shí)左右貌似又自動(dòng)解封了。對(duì)于后臺(tái)有文件mime type類型檢查的，可以使用burpsuite進(jìn)行代理攔截修改mime type，對(duì)于文件名后綴檢查的，修改后綴的木馬文件菜刀不能正常連接。？

4.防御：木馬文件利用文件上傳漏洞傳到了服務(wù)器文件目錄，可以nginx對(duì)文件目錄下的木馬文件不可訪問(wèn)即可防止菜刀連接；或直接使用阿里云oss或七牛云等云存儲(chǔ)?

總結(jié)

以上是生活随笔為你收集整理的基本文件上传漏洞攻击实验的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。