关于解压上传拿webshell的一种新方法

前几天在网上看到一个突破上传的思路 对于那种有解压上传地方的类型。

通常的思路是我们将我们的木马文件放入到压缩包中进行上传，然后服务端解压程序进行解压就得到了我们所要的webshell，但是好多程序都对压缩包里的文件进行过滤。

突破：虽然windows下我们无法在文件名后面添加点和空格，但是我们可以利用winrar的重命名功能，将压缩包里面的文件进行重命名，比如1.asp. 这样程序在处理的时候就会绕过对asp的过滤，而解压出来的文件就是我们所需要的1.asp。

这种方法对linux不起作用，因为linux不会对文件名后的.进行忽略，它认为1.asp.和1.asp是两个不同的正常文件。
 

标签分类：