[面包]MrTwoC

你好，欢迎来到这个基于区块链的个人博客名字：面包 / MrTwoc 爱好：跑步(5/10KM)、咖啡、游戏(MMORPG、FPS、Minecraft、Warframe) 兴趣方向：Rust、区块链、网络安全、量子信息(量子计算)、游戏设计与开发

文件上传&&BrupSuite

2024年2月13日#Web2Security #UpLoadFile #BrupSuite25

AI 生成的摘要

在这个问题中，通过查看源代码发现上传类型被限制为image.png。于是使用brupSuite开启拦截，然后上传一句话木马。将代码复制到txt文件中，然后将后缀改为php，就形成了一句话木马文件。通过拦截到的image.png，将Content-Type修改为image/png并放行，成功上传image.png。然后通过上传地址进入链接，发现是白屏，表示利用成功。打开蚁剑，输入地址和密码，双击image.png即可查看网站结构和包含的文件。

难度：medium

看到源码限制了上传类型

于是打开 brupSuite
开启拦截，然后再上传一句话木马：

将代码复制进 txt 中，再将后缀改为 php，就形成了一句话木马文件

这里拦截到

将 Content-Type: 修改为：
image/png
然后放行，发现上传成功

然后顺着上传地址，进入链接：
http://192.168.1.2/dvwa/hackable/uploads/111.php
发现是白屏，代表利用成功
打开蚁剑，输入地址，密码：pass

双击，即可看到网站结构及包含的文件

此文章数据所有权由区块链加密技术和智能合约保障仅归创作者所有。

区块链标识
#60961-15
所有者
0x4cc7cb48adf7c465a49f98aecafe7948450d85b2
交易哈希
创作 0x0b3d5c54...9094d0f440 最后更新 0x0b3d5c54...9094d0f440
IPFS 地址
ipfs://QmSTmFMfM8pfZFHJnzA1Zm18WShWCYzC34XRpYeVL2vLno