1.實驗準備：卸掉我windows的360安全衛士等毒殺，下載中國菜刀。肉雞:阿里云測試環境服務器

2.實驗大致步驟：編寫php，jsp等一句話木馬（<?php @eval($_POST['chopper']);?>），上傳php腳本或直接寫到服務器目錄，使用菜刀連接。詳細參考

3.實驗結果：

菜刀連接失敗，之前能訪問的測試環境網址在嘗試菜刀連接后已無法訪問，但是能ping通，打開windows 的git bash嘗試curl 訪問依然失敗，但是服務器curl是成功的。使用手機訪問測試環境網站是可以的（使用wifi依然不得行，切到手機流量訪問OK）。?應該是被阿里云的安全狗等檢測到了，被封了IP。但是過了1小時左右貌似又自動解封了。對于后臺有文件mime type類型檢查的，可以使用burpsuite進行代理攔截修改mime type，對于文件名后綴檢查的，修改后綴的木馬文件菜刀不能正常連接。？

4.防御：木馬文件利用文件上傳漏洞傳到了服務器文件目錄，可以nginx對文件目錄下的木馬文件不可訪問即可防止菜刀連接；或直接使用阿里云oss或七牛云等云存儲?

總結

以上是生活随笔為你收集整理的基本文件上传漏洞攻击实验的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。