题目
思路
- 上传一句话木马,获取shell
- 既然题目讲了前端上传,自然想到抓包上传
工具
1、weevely,kali自带,可以生成一句话木马
2、中国蚁剑 https://github.com/AntSwordProject/antSword
windows下图形化的软件,下载安装都容易,升级版的中国菜刀
解法
解法一 修改post处的代码
直接删除掉方框内内容(我的谷歌浏览器不行,火狐可以。有谷歌可以的可以下面留言评论下)
解法二 用谷歌浏览器禁用js
解法三 bp抓包上传,改后缀名即可
先改名为.jpg,bp抓包改为后缀.php
uploading-image-2401.png
后面做法就一样了,中国蚁剑连接,就有flag了
不知为何文件管理里打不开了,所以只能从命令行看,实际也差不多