ToB企服应用市场:ToB评测及商务社交产业平台

标题: 学到什么记什么（25.3.3） [打印本页]

作者: 温锦文欧普厨电及净水器总代理 时间: 4 天前
标题: 学到什么记什么（25.3.3）
Upload-labs
今日重新做了一下文件上传漏洞，这里第一题之前接纳直接抓包改后缀名.jpg为.php，再写入一句话<?php phpinfo();?>然后放行，得到图片地址（可复制），本来直接访问图片地址即可得到敏感信息，但这次为了弄清楚蚁剑的原理，想试试用蚁剑能不能查看到敏感信息
同样的方法，先找一张jpg图片，抓包上传改后缀名filename为.php，参加一句话<?php phpinfo();?>
然后放行

然后复制图片地址新建网址访问发现可行

那就开始尝试蚁剑，本来url拼接我怎么都连不上，厥后意识到刚访问图片都没拼接主要=网址，而是只单独访问图片地址，以是就单独用图片地址就连上了，暗码么，我发现a也可以cmd也可以这个就不清楚为什么

之前一直以为连蚁剑的暗码跟上传的木马中【" "】中的字符有关，不外这题的木马都没有上传这种新式的，还能连上，而且暗码不限 ...然后...没错，我又随便输入了一下发现abc也可以，

emmm，岂非上传的木马没有“暗码”以是都可以连？就像手机没有设置锁屏暗码一样谁都能打开？这个题目暂时没有弄懂，改日懂了再返来解答。
然后连上的还是可以查看信息的1

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)