网站后台上传PDF成功 但是下载不了?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网站后台上传PDF成功 但是下载不了?相关的知识,希望对你有一定的参考价值。

如题。

1、你在网站里给的下载地址是不是指向了那个文件。
2、服务器里放这个文件的文件夹的属性是不是可以访问。
3、网站后台设置里是否可以上传或下载PDF格式的文件?
从这3方面找问题吧。
参考技术A 将PDF文件打包上传。

某代刷网站存在CSRF漏洞可直接修改密码登录后台

最近搞了约会app,本来想搞个赌博网站,但是难度太大,打开火狐突然发现有个域名是ywq开头的就点开了,原来是我以前想搞的一个代刷网站,我当时注册了一个分站,当时想用xss或者文件上传getshell来当时没能成功。

我们百度一下代刷网就有很多,开通分站都是免费的。

这是我注册的那个分站

某代刷网站存在CSRF漏洞可直接修改密码登录后台 后台有图片上传点,但是上传的图片都上传到了另一个网站去了,当前网站的图片的引用的那个网站,就算上传成功了shell也不是这个代刷网的,xss都被过滤了,今天我在修改资料那里想到是否存在csrf,到时候发给管理员,因为首页都是留了当前网站管理员的QQ的。

我们修改资料用burp抓下包看下

某代刷网站存在CSRF漏洞可直接修改密码登录后台

用的post方法提交,get的话太明显了,而且提交的数据都是明文,最致命的是没有加入token验证来预防csrf。

这里我再注册一个分站,来利用一些看能否利用此csrf

某代刷网站存在CSRF漏洞可直接修改密码登录后台

这里我们可以搭建一个站点,在站点上做一个表单,诱导用户点击这个链接,当用户点击时,就会自动向存在CSRF的服务器提交POST请求修改个人信息

某代刷网站存在CSRF漏洞可直接修改密码登录后台

修改为1.html

某代刷网站存在CSRF漏洞可直接修改密码登录后台

这里我们点击我们伪造的这个站点,看是否能修改密码和QQ成功。

某代刷网站存在CSRF漏洞可直接修改密码登录后台

这里直接跳转到网站后台,并且弹框提示修改保存成功。

我们用新密码ywqjy666登录测试一下,

某代刷网站存在CSRF漏洞可直接修改密码登录后台

登录成功,并且显示为我的QQ头像。

到了这里我想了一下其实也没大有用,你光修改了他的密码,但是你不知道他的账号,也没法登录啊,我试了输入错误的用户名跟密码 他提示的是用户名或密码错误,所以我们就不能利用这个敏感信息泄露了。

别忘了 我们还把QQ号修改了,我们退到后台登录页面,点击找回密码

某代刷网站存在CSRF漏洞可直接修改密码登录后台

某代刷网站存在CSRF漏洞可直接修改密码登录后台

有意思的来了,这里用你绑定的QQ扫码可以直接登录后台。

用户名都不用猜了,就直接可以登录,一步到位。

此漏洞利用的关键还是能否诱导受害者点击我们伪造的站点。

修复建议:在修改资料处uset.php中加入token,以及验证Referer,也可以加入验证码。

以上是关于网站后台上传PDF成功 但是下载不了?的主要内容,如果未能解决你的问题,请参考以下文章

PHP网站后台上传的图片前台怎么不显示,

某代刷网站存在CSRF漏洞可直接修改密码登录后台

chorme浏览器,网站后台编辑器不显示怎么办?

数据库更改密码后 登不了织梦网站后台?

网站后台getshell的方法总结

请问网站后台上传图片显示不出来是怎么回事呢?