文件上传初级

1、WebShell文件上传漏洞分析溯源(第1题)

使用一句话木马连接

发现不允许上传，没有提示只允许png什么的上传，所以是黑名单过滤

使用burp suite截断 修改后缀为123.php1

使用菜刀连接

得到key

2、内部文件上传系统漏洞分析溯源

目录解析:在网站下建立文件夹的名称中带有.asp、.asa等可执行脚本文件后缀为后缀的文件夹，其目录内的任何扩展名的文件都被IIS当作可执行文件来解析并执行。

我们先上传一个文件,发现被保存在upload文件下,然后上传木马,在upload下,创建一个文件这里叫a.asp,后缀为.asp,然后上传木马asp.txt,木马后缀什么都行

即可用菜刀连接在 wwwroot下发现key

3、WebShell文件上传漏洞分析溯源(第2题)

①，先上传个图片，发现是upload.php，是关于php的文件上传漏洞，所以先构造浩php的一句话木马

②.设置好burpsuite进行抓包拦截

将上传的文件后缀名字改为1.php

③.最后用菜刀连接得到正确的答案