标签：文件 后缀 burp 木马 靶场 php 上传

1-3文件上传漏洞

第一关

查看源代码

js前端验证

 

 

 

上传查看回显效果

 

 

 

先上传php木马，提示不能上传;只能上传jpg、png、gif为后缀得文件，那么把木马文件得php后缀改为png，使用burp抓包更改后缀名为php

 

 

 上传成功

 

 

第二关

和第一关的思路一样，先上传php木马，提示上传不成功

 

 

然后上传png文件，burp抓包更改后缀

 

 

 上传成功

 

 

第三关

特殊后缀名解析绕过

先上传一个php木马，提示不允许上传.sap、.aspx、.php、.jsp文件

 

 

 使用burp抓包，更改后缀为php3，发现上传成功

 

 

标签：文件,后缀,burp,木马,靶场,php,上传
From： https://www.cnblogs.com/liumingyu/p/16637352.html