读者可参考、订阅专栏:Upload-Labs靶场攻防实战
Antsword蚁剑
该题涉及蚁剑工具的利用,操作可参考:
[网络安全]DVWA之File Upload—AntSword(蚁剑)攻击姿势及解题详析合集
姿势
后端逻辑代码:
将一句话木马写入图片中,抓包修改文件名,再使用蚁剑连接即可:
抓包修改后缀:
再放包:
通常,文件上传的路径为upload/文件名:
明显的是,我们可以访问该文件,故文件上传成功。
接着用蚁剑连接:
连接成功:
总结
以上为[网络安全]upload-labs Pass-01 解题详析,后续将分享[网络安全]xss-labs Pass-02 解题详析。
我是秋说,我们下次见。