本文主要是介绍CPMS靶场练习,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
关键:找到文件上传点,分析对方验证的手段
首先查看前端发现没有任何上传的位置,找到网站的后台,通过弱口令admin 123456可以进入
通过查看网站内容发现只有文章列表可以进行文件上传;有两个图片上传点
图片验证很严格,没机会保存php等可解析的后缀;只能通过保存位置进行抓包修改
正常上传图片文件,之后在保存时进行抓包
乱码后缀测试发现可能是黑名单验证;结果通过php后缀测试发现应该是MIME类型验证;此时成功上传了php后缀的文件
对文件内容进行修改;添加上一句话木马后在上传
退出该页面;发挥文章列表查看信息,复制对应的图片链接进行访问
复制链接发现是php文件;访问该图片后成功解析,用蚁剑连接成功
这篇关于CPMS靶场练习的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
![BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin](https://i-blog.csdnimg.cn/direct/ed45c0efd0ac40c68b2c1bc7b6d90ebc.png)
