漏洞利用综合.pdfVIP

漏洞利用综合 1 课程简介 本课程主要讲解了目录遍历、任意文件读取和下载、越权访问、命令 执行、心脏出血等其他常见漏洞的综合利用。 课程目录 目录遍历 任意文件读取和下载 越权访问 命令执行 心脏出血 Padding Oracle Attack 总结 目录遍历 概念 许多的Web应用程序一般会有对服务器的文件读取查看的功能，大多 会用到提交的参数来指明文件名，形如： /getfile=image.jgp 当服务器处理传送过来的image.jpg文件名后，Web应用程序即会自动 添加完整路径，形如“d://site/images/image.jpg”，将读取的内容返回 给访问者。 由于文件名可以任意更改而服务器支持“~/” ，“/..”等特殊符号的目 录回溯，从而使攻击者越