文件上传靶场

1-3文件上传漏洞

第一关

查看源代码

js前端验证

 

 

 

上传查看回显效果

 

 

 

先上传php木马，提示不能上传;只能上传jpg、png、gif为后缀得文件，那么把木马文件得php后缀改为png，使用burp抓包更改后缀名为php

 

 

 上传成功

 

 

第二关

和第一关的思路一样，先上传php木马，提示上传不成功

 

 

然后上传png文件，burp抓包更改后缀

 

 

 上传成功

 

 

第三关

特殊后缀名解析绕过

先上传一个php木马，提示不允许上传.sap、.aspx、.php、.jsp文件

 

 

 使用burp抓包，更改后缀为php3，发现上传成功