今天在看《终极一班2》的时候,团队成员I 突然发了个搜狗的xss过来,不是搜狗拼音的、 我就看了下,来了兴趣,我本来就没在杭州,没工具,什么都没,就找I 要了关键字, 我们就一起挖了,然后没多久他说看到上传了,他就第一个拿下了,我看了是搜狗拼音,我 就自己又构造了单独搜狗拼音的关键字,找到了上传页面,尼玛伤不起,我找到了,I 那小 子就发我了,我去、、然后果断上传,限制了后缀名,果断在上传的时候直接输入xx.php、 这样绕过,,下面看图 漏洞就是上传大头贴的页面 http://pinyin.sogou.com/skins/dttmk.php 不多说了,直接看思路吧,,因为要抓包,我就没 下载 火狐了,I 是火狐插件突破的,我下载了谷歌 浏览器 ,自带抓包的。 右键审查元素 点击 Network 这个是抓包的 然后上传。。 如图, 因为限制了文件名后缀,所以你直接在文件名称那输入你马的名字,比如1.php 我 的是放在桌面,所以点击到了桌面,然后输入1.php 再点击打开、、就上传了,(这里我要讲的是,不要选择什么。直接输入你马的名字上传)我们看 看 看到没,抓到了,,文件名与路径都抓到了,,然后菜刀连接、、、
查看更多关于友情检测搜狗拼音 - 网站安全 - 自学php的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did14052