伪静态应该怎么设置:
怎么设置伪静态是许多站长最关心的一个问题了,其实要将网站设置成伪静态需要一些必备条件:
1、网站程序支持设置伪静态。
2、web服务器支持设置伪静态。
3、必须要有伪静态规则文件。
其中任意文件上传漏洞在上传用户头像处,可通过上传一句话木马,修改数据包内容,获取网站Shell。
1.访问网址,注册账号,已知漏洞在上传用户头像处
2.登陆之后在桌面创建文件0.txt,
将一句话木马base64,将base64后的一句话木马写入 0.txt ,文件后缀名改为 .png
3.接下来上传头像,设置浏览器代理,利用burp抓包,将png修改为php,点击Foward放行。这里如果报错,无需理会。
4.菜刀连接访问
通过查看CMS框架,可以知道上传文件存储于uploadfile\member\4下
使用 菜刀软件 可以直接访问: http://10.4.0.36/uploadfile/member/4/0x0.php (木马路径), 其中末尾的.php为一个木马文件,密码为‘a’
进入服务器后台,可以直接查看到flag.txt
参考链接: FineCMS 5.0.10漏洞集合 - Unitue_逆流 - CSDN博客
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)