文件上传类题目
因为之前已经积累了很多马了所以先尝试最简单的图片马
png不行,应该是被ban掉了
jpg也不行,没有内容,没事
但是在我上传另一个文件头为GIF89a的图片马时发现上传成功了,本想直接用.hatccess解析直接连蚁剑但是发现出现了一个判断函数
exif_imagetype函数,这是个判断图像类型函数,只要在文件前加上图片文件头就能绕过,另外这里有不包含<?的限制,可以用script绕过
这个再加上前面的测试就可以明白了,就因为是这个函数检测是否为图片类型,还隔断了<?可以用GIF89a文件幻字头绕过
但是在用.hatccess解析时失败,应该是被过滤了。但是有.USER.INI
文件优势:跟.htaccess后门比,适用范围更广,nginx/apache/IIS都有效,而.htaccess只适用于apache
上传之后跟.hatccess相似,用蚁剑连接就可以登录了