文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

攻防世界-upload1-(详细操作)做题笔记

2023-09-01 17:13

关注

为了让自己记忆更深刻,查询跟资料更方便,开始试着写博客,新手菜鸟,思路有不正确的地方,还请各位大佬不吝啬指正,感谢。下面开始做题:

 进去题目已有提示需要上传文件

这种情况一般是构建一句话木马,利用burpsuite修改包后缀名(一般会限制上传文件类型),上传成功以后注意文件位置,利用菜刀或者是中国蚁剑进行连接, 然后获得flag,这就是具体的思路,下面我们开始实际操作,先构建我们需要的一句话木马:

构建的木马放在upload1.txt文本中

然后更改文件的格式,改为jpg上传

点击上传以后数据包会被burpsuite拦截,

 将拦截的后缀名jpg更改为php,burpsuite点击forword上传以后一句话木马就上传成功了,观察上传木马的后缀名可以得到该后缀名为php,说明修改成功了。

进入到文件路径

http://111.200.241.244:56304/upload/1655177536.upload1.php可以查看木马是否上传成功

文件返回值123,在该路径下文件返回了123,说明文件起了作用,现在可以打开中国蚁剑进行连接,在该页面下点击鼠标右键,再点击添加数据

 在URL地址哪里需要填写上传木马的详细路径,不然就无法连接成功。密码为eval($_POST['123'])的中的123

双击新的连接就可以进去web段。

 

 进入网站以后就可以获得文件的访问权限,自己慢慢找文档就可以了,一般在根目录下面可以,或者是www点网站下面可以找到需要的flag

 

来源地址:https://blog.csdn.net/qq_43715020/article/details/125274195

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯