准备一张图片tu.jpeg、phpinfo.php和hack.php;
Phpinfo.php文件内容:
hack.php文件内容:
准备一个16进制软件UE(UltraEdit),linux下载地址:https://www.cr173.com/soft/265552.html
以及装有hackbar的火狐;
中国菜刀,下载地址:https://download.csdn.net/download/qq_42280544/10684347
上实例
题目网址:http://ctf.xjnu.edu.cn:666/
打开UE,将tu.jpeg和phpinfo.php
将phpinfo.php代码复制到tu.jpeg中保存
然后,将修改的图片上传
使用hackbar,在load中填写
http://ctf.xjnu.edu.cn:666/index.php?file=upload/tu.jpeg
然后点击run,如果出现一下界面,证明上传成功,说明可以上传木马
然后,将tu.jpeg文件最后的代码,改为hack.php文件中的代码,保存
为了区分,将图片名改为tu2.jpeg
上传图片,打开中国菜刀,右击添加
将以下链接输入
http://ctf.xjnu.edu.cn:666/index.php?file=upload/tu2.jpeg
后面的小框中是写一句话木马中的参数
选择脚本类型为php(Eval),字符编码为UTF-8
点击添加,然后在点击链接
发现flag
引用来源:
https://blog.csdn.net/qq_42280544/article/details/82827261
本文始发于微信公众号(Hacking黑白红):【网络安全学习系列】PHP一句话图片马及实例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论