一、pass14
(1)思路:
1)查看源代码发现代码会检查上传文件头的前两个字节,只有符合图片的头才会上传
2)考虑将图片和php文件拼接起来,绕过检查
(2)步骤
1)利用cmd生成将.php和.jpg文件合并生成包含php木马的.jpg文件
2)上传并进行验证
上传成功
验证:利用题目所给存在文件上传漏洞的网页进行测试。
复制该网页网址在hackbar中验证(file指向上传的jpg链接)
验证成功
二、pass15
和14几乎一致,步骤同上,验证成功:
三、pass16
同上
四、pass17
(1)思路
查看源码,多了一个对图片的二次渲染
/*** imagecreatefromjpeg() 图片二次渲染函数 ***/
(2)步骤:
1)缩小画布,随便画一笔保存为.gif(png更改图片的校验位比较困难)
2)将gif文件上传,并抓包,改包,将一句话木马插入到图片内容中等偏下的位置
3)forward发现图片颜色变了,一般就是成功了,然后验证
验证成功