文件上传漏洞。
不过这里我要吐槽一下,这个题首先他不允许传.png文件,
再者.jpg文件不能大,打了也报错,传不上去。
可想而知,我当时在做这个题的时候跟见了鬼一样难受,什么文件都传不了。
接着做题吧:
试着传一个PHP文件,告诉我不能传ph开头的文件后缀名,所以这里表示后端把所有php和php的别名都封死了。
根据之前upload-labs积累的绕过姿势,还可以上传.htaccess文件。
不知道的话就进来学学吧
再次上传一句话木马时,又被拦截了,这里应该是后端检测了文件内容。盲猜检测<?
所以用JS辅助写一句话木马。
就是这样,然后用蚁剑连接。
这里注意一下文件路径