摘要: 打开网站 上传.htaccess和.png两个文件即可 上传图片格式解析成功,说明一句话木马上传成功,用蚁剑成功连接即可。 阅读全文
posted @ 2022-01-04 18:55 oldliutou 阅读(106) 评论(0) 推荐(0) 编辑
摘要: 过滤了 php、php3、php4、php5、pht、phtml等后缀,限制了内容以图片头开头,且内容中不能有<? 下面是我绕过的情况,最终传递上去了假的图片,但是并不能解析 看看别人的wp 前置知识:.user.ini 比如,某网站限制不允许上传.php文件,你便可以上传一个.user.ini,再 阅读全文
posted @ 2022-01-04 18:40 oldliutou 阅读(41) 评论(0) 推荐(0) 编辑
摘要: 打开网站 进入网站,出现了代码,开始代码审计吧 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; // if(isset($text)&&(file_get_contents($tex 阅读全文
posted @ 2022-01-04 18:26 oldliutou 阅读(33) 评论(0) 推荐(0) 编辑
摘要: 打开网站 抓包发现了个线索,一个SQL语句,这里可以确定是SQL注入了,但是和MD5编码相关 select * from 'admin' where password=md5($pass,true) md5(string,raw) 参数 描述 string 必需。要计算的字符串 raw 可选。 默认 阅读全文
posted @ 2022-01-04 18:07 oldliutou 阅读(59) 评论(0) 推荐(0) 编辑