打开靶机
我们先ctrl加U看源码查看是否有上传
发现前端了我们只能上传.jpg .png .gif类型的文件
思路:发现了只能上传图片类型,我们可以使用burp来修改前端,来上传php一句话木马,或者在burp里上传的图片的文件后添加一句话木马。通过蚁剑连接拿到shell
打开burp,打开抓包,浏览器先上传一张图片
burp就会显示,下面很长而且看不懂的就是图片文件的内容
把前端的png改成php
修改文件内容为一句话木马
连续点两次发包
再点一次
就上传成功了,右键图片点击新建标签打开图像
就能看见图片上传后得到的路径upload/7.php
成功拿shell
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- kqyc.cn 版权所有 赣ICP备2024042808号-2
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务