记一次对小站的测试2

通过访问网站，可以发现这个网站存在文件上传漏洞，从中寻找文件上传点，在网站的子页面中可以发现：

很显然这是一个文件注入点，我们填完信息之后发现无法提交，显示留言内容不能为空，所以考虑别的方法

单独上传一个图片试一试，因为题目中规定了只能上传png，jpg，gif的文件，但上传这些文件无意义，所以我们考虑用bur抓包该包放包上传php的一句话木马

bur抓包后改包内容如下

然后就可以知道我们这个php文件已经上传成功了

我们点击预览，就可以看到一个下载的连接，我们查看这个连接

最后我们使用蚁剑进行连接：

 

所以此时我们就可以知道这个网站确实存在文件上传漏洞，以及可以用菜刀进行连接，获取数据库等信息