最近剛出的一個用來練習(xí)文件上傳漏洞的一個教程--------upload-labs;它的任務(wù)是上傳一個webshell到服務(wù)器沛膳,原理性的東西我們這里就不進行詳細的講解了遏匆,從upload以下的每一個關(guān)卡中,你能真正體會到什么是文件上傳漏洞民假,它一共19道題,接下來我們一步一步分析;
-
客戶端檢測繞過(javascript 檢測):
首先我們可以看到酌畜,桌面上有一個文件名為zqlone.php文件,我們要想把這個文件作為webshell上傳到服務(wù)器上卿叽,這是我們的目的
1
我們?yōu)g覽這個文件然后點擊上傳桥胞,這時會出點一個警告框提醒你文件的后綴名不符合,如圖所示:
2
這時我們可以先將zqlone.php的后綴名改為他需要的格式然后通過burp抓包的方式修改后綴名達到我們想要的目的附帽;
3
4
5
這時我們會將我們的php文件成功寫入服務(wù)器中埠戳,如圖:
6
7
成功將我們的PHP文件寫入數(shù)據(jù)庫中,然后就通過菜刀工具進入到它的電腦中得到自己想要的東西=栋纭U浮!
