[面包]MrTwoC

你好，欢迎来到这个基于区块链的个人博客名字：面包 / MrTwoc 爱好：跑步(5/10KM)、咖啡、游戏(MMORPG、FPS、Minecraft、Warframe) 兴趣方向：Rust、区块链、网络安全、量子信息(量子计算)、游戏设计与开发

文件上傳&&BrupSuite

2024年2月13日#Web2Security #UpLoadFile #BrupSuite30

AI 翻譯

這篇文章透過AI由簡體中文翻譯成繁體中文。查看原文

AI 生成的摘要

這段文字描述了一個中等難度的攻擊方法，使用Burp Suite來攔截網站上的圖片上傳功能。攻擊者將一段木馬代碼複製到txt文件中，然後將文件後綴改為php，這樣就形成了一個木馬文件。攻擊者通過修改Content-Type，成功上傳了一個名為image.png的文件。然後，攻擊者進入上傳文件的地址，發現是一個空白頁面，表示利用成功。攻擊者使用蚁剑工具，輸入地址和密碼，成功打開了網站結構和包含的文件。

难度：中等

看到源碼限制了上傳類型

於是打開 brupSuite
開啟攔截，然後再上傳一句話木馬：

將代碼複製進 txt 中，再將後綴改為 php，就形成了一句話木馬文件

這裡攔截到

將 Content-Type: 修改為：
image/png
然後放行，發現上傳成功

然後順著上傳地址，進入連結：
http://192.168.1.2/dvwa/hackable/uploads/111.php
發現是白屏，代表利用成功
打開蟻劍，輸入地址，密碼：pass

雙擊，即可看到網站結構及包含的文件

此文章數據所有權由區塊鏈加密技術和智能合約保障僅歸創作者所有。

區塊鏈編號
#60961-15
擁有者
0x4cc7cb48adf7c465a49f98aecafe7948450d85b2
交易雜湊值
創作 0x0b3d5c54...9094d0f440 最後更新 0x0b3d5c54...9094d0f440
IPFS 位址
ipfs://QmSTmFMfM8pfZFHJnzA1Zm18WShWCYzC34XRpYeVL2vLno