最近刚出的一个用来练习文件上传漏洞的一个教程--------upload-labs;它的任务是上传一个webshell到服务器,原理性的东西我们这里就不进行详细的讲解了,从upload以下的每一个关卡中,你能真正体会到什么是文件上传漏洞,它一共19道题,接下来我们一步一步分析;
-
客户端检测绕过(javascript 检测):
首先我们可以看到,桌面上有一个文件名为zqlone.php文件,我们要想把这个文件作为webshell上传到服务器上,这是我们的目的1我们浏览这个文件然后点击上传,这时会出点一个警告框提醒你文件的后缀名不符合,如图所示:
2
这时我们可以先将zqlone.php的后缀名改为他需要的格式然后通过burp抓包的方式修改后缀名达到我们想要的目的;345这时我们会将我们的php文件成功写入服务器中,如图:
67
成功将我们的PHP文件写入数据库中,然后就通过菜刀工具进入到它的电脑中得到自己想要的东西!!!