Ting

• 直接传php 如果不行，说明有黑名单or白名单验证
• 验证是黑名单还是白名单 文件名修成.pppp之类，如果不行说明是黑名单，并且如果能够验出文件类型是php，则有文件类型校验
• 验证是否内容校验 文件名和文件类型都修改后，依旧验出php则有
• 如果内容有校验，修改内容 例：

1

<script language='php'> @eval($_GET['cmd']);</script>

1.文件上传绕过类型

（1）客户端校验绕过 javascript校验，一般是校验后缀名 上传木马，蚁剑连接或者禁用javascript

本文参考博客：https://blog.csdn.net/Kevinhanser/article/details/81592478?ops_request_misc=&request_id=&biz_id=102&utm_term=%E5%AF%BC%E5%85%A5%E6%96%87%E4%BB%B6%E5%9E%8B%E6%B3%A8%E5%85%A5&utm_medium=distribute.pc_search_result.none-task-blog-2allsobaiduweb~default-0-81592478.142^v88^koosearch_v1,239^v2^insert_chatgpt&spm=1018.2226.3001.4187

一、基本思路

1.通过使用load_file导出访问dnslog平台； 2.通过hex()对查看的@@basedir mysql的安装目录进行16进制转换，避免url显示不出特殊符号； 【注：因为url长度有限使用substr()函数截取函数分段显示然后再拼接一起查看】

参考文章：日志包含漏洞

产生原因

日志包含漏洞属于是本地文件包含，同样服务器没有很好的过滤，或者是服务器配置不当导致用户进入了内网，本来常规用户是访问不了这些文件的，但由于发起访问请求的人是服务器本身，也就导致用户任意文件读取。

1.常用函数

（1）sleep（）

os.path.join(path,*paths) 该函数用于将多个文件路径连接成一个组合的路径。 第一个函数通常包含了基础路径，而之后的每个参数被当作组件拼接到基础路径之后。

然而，这个函数有一个特性： 如果拼接的某个路径以 / 开头，那么包括基础路径在内的所有前缀路径都将被删除，该路径将视为绝对路径。