Web For Pentester File upload 练习

 

上传链接上传文件前的准备：

一句话木马php文件

Example 1

1. 将准备好的文件直接上传进行测试。

2. 发现可以上传成功，根据页面提示点击here。

3.发现上传的后的文件在下图中的路径中。

4. 利用菜刀连接成功

 

Example 2

1. 利用上面的直接上传php文件后，返回提示 NO PHP

 

2.上BurpSuite,抓包，发现前端没有对文件类型的验证js,可知后端对文件类型进行了验证。

3.抓包修改其中的content-type为 image/jepg,然后发包

4.通过返回的数据显示依旧是 NO PHP

 

5.考虑到是Linux搭建的环境，可以考虑修改文件后缀名的大小写

6. 通过返回的结果可知上传成功，下一步利用菜刀连接即可。