最近接触了文件上传漏洞,刚好可以做这个题目了
普及下文件上传的漏洞:
根据一些bug可以把我们的木马文件上传进去从而达到控制服务器的目的
分享一下两位大哥文件上传漏洞的技巧以及讲解
文件上传的常见技巧及讲解
文件上传的骚操作
这道题百度了好久,才做出来
当个web狗真的难受
这道题考到了文件头绕过以及js代码绕过
先看看是不是黑名单
发现phtml可行
这边我在burpsuit试了很久才试出来的,过程不发了
不知道为什么jpg的文件头幻数不可行,gif的文件头幻数却可以,以后慢慢了解吧
放行之后进入到upload下
进到我们上传的(一句话木马)文件
成功进入,
现在我们就成功黑进这个服务器了,(终于明白之前菜刀的题目的意思了),放进菜刀里面去,成功黑进去了(当然也可以用蚁剑),这边暂时用菜刀做
去里面找flag
文件太多了,想起之前菜刀那个题目
打开终端,直接敲指令,爆出flag
web狗真的不容易啊
来源:CSDN
作者:SopRomeo
链接:https://blog.csdn.net/SopRomeo/article/details/104108184