upload-labs教程(一)

最近刚出的一个用来练习文件上传漏洞的一个教程--------upload-labs;它的任务是上传一个webshell到服务器,原理性的东西我们这里就不进行详细的讲解了,从upload以下的每一个关卡中,你能真正体会到什么是文件上传漏洞,它一共19道题,接下来我们一步一步分析;

  1. 客户端检测绕过(javascript 检测):
    首先我们可以看到,桌面上有一个文件名为zqlone.php文件,我们要想把这个文件作为webshell上传到服务器上,这是我们的目的


    1

    我们浏览这个文件然后点击上传,这时会出点一个警告框提醒你文件的后缀名不符合,如图所示:


    upload-labs教程(一)_第1张图片
    2

    这时我们可以先将zqlone.php的后缀名改为他需要的格式然后通过burp抓包的方式修改后缀名达到我们想要的目的;
    3

    upload-labs教程(一)_第2张图片
    4

    upload-labs教程(一)_第3张图片
    5

    这时我们会将我们的php文件成功写入服务器中,如图:


    upload-labs教程(一)_第4张图片
    6

    upload-labs教程(一)_第5张图片
    7

    成功将我们的PHP文件写入数据库中,然后就通过菜刀工具进入到它的电脑中得到自己想要的东西!!!

你可能感兴趣的:(upload-labs教程(一))