题目:upload1 难度:2
知识点:一句话木马 webshell及工具
Web安全-一句话木马_yijuhuamuma-CSDN博客
渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析_中国菜刀 渗透测试-CSDN博客
以及工具蚁剑工具的安装教程
解题:
步骤一 编写木马文件
新建一个.txt文件,写一个一句话木马,保存后将后缀修改为.jpg
步骤二 上传
此时,我们打开burpsuite工具,开启抓包功能,随后点击上传。
我们就会得到一个流量包
其中找到我们上传的文件名,将后缀从.jpg修改为.php。接着,forward继续上传。
网页得到回显,说明上传成功。
我们也可以在url链接后输入文件地址及文件名,尝试打开文件,看看是不是上传成功。
网页成功打开了,因为在代码中我没有输入返回值代码的比如“helloworld”之类的,所以看不到东西,其实这里是正常打开了
步骤三 蚁剑!启动!
右键,选择add
将文件所在地址url链接复制到shell url栏,第二行要填写的是密码,这个就是你一句话木马里编写的代码,里面的值。我这里的是pass。
双击这个URL就可以开始寻找flag了
点up返回到上级目录,寻找flag所在目录。
顺利找到
我们只需右键该flag文件,download到本地,就可以将文件复制了。
cyberpeace{a88062df3abd372cf655c272bb2e2224}