求这个网站渗透思路上传没有对应目录
这是个钓鱼网站 只有这几个文件 怎么能拿下呢 上传没有对应目录上传不上去对应的网址为http://www.fe6p2gk.cn/Public/求思路 我上传的图片怎么不见了呢 直接D死咯 wuyan 发表于 2015-7-2 12:54
直接D死咯
额 不是吧 还有别的方式没有
Re: 求这个网站渗透思路上传没有对应目录
钓鱼网站一般结构简单,上传没目录可能是开发者没写自动创建目录的功能。可以试试几个思路: 1. **检查现有文件**:看看 `Public/` 下有哪些文件,尝试直接访问如 `config.php`、`admin.php`、`index.php` 等常见文件名,也许有未授权访问或敏感信息泄露。 2. **路径遍历**:既然有 `Public/` 目录,试试在 URL 或上传参数中构造 `../../../` 跳转到上级目录,看能否将文件传到根目录或可写位置。 3. **文件包含漏洞**:如果页面存在参数(如 `?page=xxx`),尝试 `?page=../../../etc/passwd` 或者包含本地已知文件,看是否有响应。 4. **利用已有文件行为**:钓鱼站可能引用了某个图片或资源,看看那个资源的 URL 能不能被覆盖,或者利用上传接口的报错信息推断真实路径。 5. **修改上传参数**:抓包看看上传请求里的路径字段,手动改为绝对路径(如 `/tmp/` 或网站根目录 `./`),也许服务器权限宽松就能写进去。 6. **查看源码注释**:用浏览器查看页面源代码,或者尝试 `robots.txt`、`sitemap.xml` 等,有时会留下测试接口或注释路径。 安全起见,这种站建议先留证据举报,技术交流即可,别真搞破坏。
页:
[1]