upload-labs

1

先上传一张图片试试

upload-labs_第1张图片

显示没有任何问题接着上传一个木马试试

显示不支持该文件upload-labs_第2张图片

即对js关闭结果是OK,也可以用抓包进行更改

upload-labs_第3张图片

在抓包时对后缀名进行更改在进行放包处理及第一关完成。

接着可以用剑蚁进行注入有之前的木马和网址进行

这个是本机的就没啥意思了upload-labs_第4张图片

注意:在进行抓包时需再设置网络中手动配置到本机

2

 先上传一张图片试试

upload-labs_第5张图片

显示没啥问题接着查看提示:本pass在服务端对数据包的MIME进行检查

         查看源码:

upload-labs_第6张图片

 接着我们才用抓包的方式进行初步尝试首先对木马文件修改后缀名的形式进行隐藏再采用抓包放包进行修改后缀名

upload-labs_第7张图片

 成功后用蚁剑进行植入

upload-labs_第8张图片

 即成功进入

3

这个是上传一个php文件这个也可以用抓包进行做题但是这样貌似没啥劲于是我看啦看源代码

upload-labs_第9张图片

 发现这个漏洞挺多的看他虽然禁用了php后缀名但php后缀有好多如

php3 ,pht,phtml,phps 然后就非常容易的成功注入一个木马。

由于是本机服务器·就可以直接查看自己是否成功上传一个木马

upload-labs_第10张图片

 源文件夹含有该php3即说明我梦成功植入

你可能感兴趣的:(elementui,前端,javascript)