到站点进行访问

利用插件查看站点为php。

进行常规的目录扫描

扫到了后台

输入内容提交好像有验证

提示了手机端，就考虑有没有手机端的登录F12一下

抓包就报错，所以暂时没搞这个登录地址继续往下看访问扫目录扫出来的upload.php感觉有搞头

一眼Unicode编码，解码之后是上传失败

想着在本地构造一个poc，尝试一下

利用burp上传抓包，上传

上传成功了，访问一下

不搞多余操作，直接尝试shell

上传成功，访问一下,成功

简单高效 一套带走！又拿下一个违法站点！

星球内部VIP资源包含但不限于网上未公开的day漏洞（2024漏洞POC更新到600+）2024最新企业SRC/CNVD/Edu/众测实战挖掘技巧报告，红队内网横向渗透，代码审计，JS逆向，SRC培训等课程。圈子对新人友好，加入圈子拥有FOFA shadan 360Quake等等高级会员账号，SRC文档，武器库。目前圈子资源10w+，如果你想享受外界未公开的0day 1day漏洞或者学习如何挖SRC赚零花钱欢迎加入我们的圈子。(详情点击下方地址了解-->>最后5张优惠券，后台回复 "星球" 获取优惠券，名额有限，即将调整价格！)

点击了解-->>内部VIP知识星球福利介绍V1.3版本-星球介绍

近期更新的0day/1day(包含公开和未公开漏洞-仅列举部分)漏洞整理更新至600+需要的加入星球获取

一些SRC漏洞报告300+(仅列举部分)加入星球获取更多资源及视频资源持续更新中！