WebShell文件上传漏洞分析溯源(第1题)

0x01
首先尝试了使用burp suite截取数据,然后修改文件后缀名,发现修改了以后还是会提示无法上传php文件类型,最后尝试修改文件路径名,虽然可以成功修改但是无法用菜刀连接,因为不存在文件解析漏洞,也真是蠢蠢的不知道自己在想什么。。。。
然后又使用将一张图片和php一句话结合生成一个新的jpg文件的思路,结果可以上传,但是菜刀并不支持jpg这种图片木马的连接,即使上传成功也无法利用,关于这种支持图片木马连接工具我还没发现什么可以用= =
后来百度php文件上传绕过的思路,发现有一个博客中说可以添加.php5这种文件后缀名来绕过,尝试了一下发现可以绕过,后面就用菜刀连接就可以,没什么大问题。。。

0x02


WebShell文件上传漏洞分析溯源(第1题)_第1张图片
2.png
WebShell文件上传漏洞分析溯源(第1题)_第2张图片
3.png
WebShell文件上传漏洞分析溯源(第1题)_第3张图片
223.png

0x03
后记:在查找绕过思路的时候发现有一篇说了关于apache文件解析漏洞的原因的博客http://wonderkun.cc/index.html/?p=626
主要是因为php.conf文件错误配置的原因才引起了apache解析漏洞的关键,说实话我没有找到这个php的配置文件在哪2333不知道是不是我装的php7.x的原因,但是我在phpstudy也没找到,真是奇怪= =

你可能感兴趣的:(WebShell文件上传漏洞分析溯源(第1题))