先尝试直接上传一个普通的一句话木马
显示此文件不允许上传,这道题并没有提示不允许上传什么后缀的文件,经过尝试,基本上所有后缀能够被解析为php语句执行的文件都不能成功上传。试试正常的图片能不能上传:
我们再来试试图片马能不能正常上传,所谓图片马,就是把木马病毒写到图片内容中,也就是带有木马内容的图片或是以 .png 或 .jpg 结尾的文件,但是文件内容是一句话木马,或其他的木马病毒。
首先,创建一个 yjh.txt ,将一句话木马编辑到文件中然后保存。
可以上传
htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能
通俗点来说,在文件上传类型的题目中,我们就是要利用这个文件,修改服务器的配置,让服务器将文件内容符合php语法的.png结尾的文件解析为php语言去执行。
原文链接:https://blog.csdn.net/2302_80946742/article/details/137714313
首先,创建一个.htaccess文件(文件名必须一致),文件内容为:
SetHandler application/x-httpd-php这句代码的意思就是告诉服务器,将目录下所有符合php语法的文件内容当做php脚本执行,不管它是什么后缀。
然后将 .htaccess 文件上传到靶机中,修改服务器配置。
右键复制图片链接访问试试看,可以看到403报错,403是无法查看文件的状态码,是存在这个文件,但是无权查看。并不是没有这个文件,如果直接的话没有就是404报错。
然后解题就行
