ファイルのアップロード&&BrupSuite

2024年2月13日#Web2Security #UpLoadFile #BrupSuite42

AI 翻訳

この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示

AI が生成した要約

"中等难度。通过修改上传文件类型绕过源码限制，成功上传一句话木马文件。利用蚁剑工具查看网站结构和文件。"

难度：中

見えるソースコードでアップロードタイプが制限されていることがわかりました

そのため、Burp Suite を開きます
インターセプトを有効にし、そしてバックドアをアップロードします：

コードを txt にコピーし、拡張子を php に変更すると、バックドアファイルが作成されます

ここでインターセプトしました

Content-Type を次のように変更します：
image/png
そして、許可します。アップロードが成功したことがわかります

次に、アップロードアドレスに従ってリンクに移動します：
http://192.168.1.2/dvwa/hackable/uploads/111.php
白い画面が表示されることがわかります。これは利用に成功したことを示しています
YiJian を開き、アドレスを入力し、パスワード：pass

ダブルクリックすると、ウェブサイトの構造と含まれるファイルが表示されます