信安小知识-4

1. 文件包含

• php文件包含漏洞
• Web安全实战系列：文件包含漏洞 - FreeBuf网络安全行业门户

2. 文件上传绕过（file upload bypass）

• 常见的文件上传的检测方式与绕过的方法-狐灵网络科技
• BookFresh Tricky File Upload Bypass to RCE | SECURITY GEEK
  • bypass php-gd library

    i came with an idea to compare the gif images before and after it get converted using php-gd and search for any similarity between them , so if i find a similar part in the original file that was kept also after converting using the php-gd then i can inject my php code in that part and get RCE

3. 命令注入长度限制绕过

• 挖洞经验 | 命令注入突破长度限制
• 命令注入长度限制绕过 - ctrl_TT豆 - 博客园

4. 变量覆盖

5. /etc/shadow

• 目前 Linux 的密码采用的是 SHA512 散列加密算法
• 很多软件透过这个功能，在密码串前加上 “!”、”*” 或 “x” 使密码暂时失效

• Linux /etc/shadow（影子文件）内容解析（超详细）