墨者学院—WebShell文件上传漏洞分析溯源(第3题)

WebShell文件上传漏洞分析溯源(第3题)

思路

1.验证上传点是否可上传一句话木马
2.是否做了前端限制
3.是否开启mime限制
4.是否开启了文件头检测

实践

• 上传普通图片，可上传

  
  image.png

• 路径为/uploads/

  
  image.png

• 上传一句话木马，不可上传

  
  image.png

• 测试是否开启MIME，没有。应该开启了文件头检测。

  
  image.png
  image.png
  image.png
  image.png
  image.png

• 制作图片木马

  
  image.png

• 上传图片木马

  
  image.png
  image.png
  image.png

• 菜刀连接

  
  image.png