1、正常通过对某个后台系统做暴力破解,获取了一个弱口令账户,进入系统当中。
2、然后进入后台页面的个人中心,找到头像上传的功能,使用burpsuite进行抓包,正常不能上传jsp木马到系统当中,我测试发现,只要上传文件添加图片文件的特征即可。
3、上传成功,拼接木马地址,获取webshell。
1、正常通过对某个后台系统做暴力破解,获取了一个弱口令账户,进入系统当中。
2、然后进入后台页面的个人中心,找到头像上传的功能,使用burpsuite进行抓包,正常不能上传jsp木马到系统当中,我测试发现,只要上传文件添加图片文件的特征即可。
3、上传成功,拼接木马地址,获取webshell。