MIME类型的验证 image/GIF可通过
这个靶场有两个小坑:
1.缩略图勾选则php文件不执行或执行出错
2.要从上传文件管理位置获取图片链接(这是原图上传位置);文件上传点中显示图片应该是通过二次复制过去的;被强行改成了.png/.gif文件;复制那个图片链接的话是不会执行的
具体实操:
进入网站首页,url后面通过输入admin发现了后台管理系统的登录界面
用弱口令admin admin 直接进去了;(可以看到一些系统信息)
通过查看里面的数据发现了一个文件上传点
对文件进行上传(上传一个hello.php文件)不要勾选缩略图
通过抓包对MIME类型进行修改上传成功
从图片管理位置可以查看上传的原图;可以看到上传了一个php文件;
复制图片的链接访问成功执行文章来源:https://www.toymoban.com/news/detail-800611.html
文章来源地址https://www.toymoban.com/news/detail-800611.html
到了这里,关于BEESCMS靶场小记的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
