打开靶场后,能发现是让扫描一下后台,上dirsearch来试试
能看到有个upload的后台,访问试试
这个页面会从upload.php跳转到upload1.php点击确定后会再跳转到upload2.php上。
这个跳转是通过什么实现的呢?我们通过bp抓包后然后看下是什么情况
看的出是通过js进行跳转的,我们直接在浏览器中禁止js跳转,设置位置如下图
然后我们退出,重新访问upload,能看到上传点了
上传一个php的木马
但是到这,出现问题了,我们上传的文件去哪了呢?
看了题解后,发现是通过bp抓包后修改拿到网页的源码的,具体的操作方式如下:
访问upload1.php然后抓包,抓包后放到重放器中,将cookie修改为uploadmd5=upload_file.php,可以看到源码
仔细分析下这个源码
可以发现最后的命名方式是path+time+’_’+verify字段+’_’+file1
file1就是我们的文件名。time的格式是年月日
继续重新上传一个后门,记得看下生成的verify字段
那么最终生成的文件名应该是20211231_c3c06c83bc1865a3_muma.php
最后的路径应该是http://219.153.49.228:40294/admin/uploadfile/20211231_c3c06c83bc1865a3_muma.php
通过蚁剑连接一下看看
进去拿到key