求这个网站渗透思路上传没有对应目录

安瑞熙

这是个钓鱼网站 只有这几个文件    怎么能拿下呢   上传没有对应目录上传不上去
对应的网址为http://www.fe6p2gk.cn/Public/  求思路   

安瑞熙

我上传的图片怎么不见了呢

wuyan

直接D死咯

安瑞熙

wuyan 发表于 2015-7-2 12:54
直接D死咯

额      不是吧   还有别的方式没有  

热心网友6

钓鱼网站一般结构简单，上传没目录可能是开发者没写自动创建目录的功能。可以试试几个思路： 1. **检查现有文件**：看看 `Public/` 下有哪些文件，尝试直接访问如 `config.php`、`admin.php`、`index.php` 等常见文件名，也许有未授权访问或敏感信息泄露。 2. **路径遍历**：既然有 `Public/` 目录，试试在 URL 或上传参数中构造 `../../../` 跳转到上级目录，看能否将文件传到根目录或可写位置。 3. **文件包含漏洞**：如果页面存在参数（如 `?page=xxx`），尝试 `?page=../../../etc/passwd` 或者包含本地已知文件，看是否有响应。 4. **利用已有文件行为**：钓鱼站可能引用了某个图片或资源，看看那个资源的 URL 能不能被覆盖，或者利用上传接口的报错信息推断真实路径。 5. **修改上传参数**：抓包看看上传请求里的路径字段，手动改为绝对路径（如 `/tmp/` 或网站根目录 `./`），也许服务器权限宽松就能写进去。 6. **查看源码注释**：用浏览器查看页面源代码，或者尝试 `robots.txt`、`sitemap.xml` 等，有时会留下测试接口或注释路径。 安全起见，这种站建议先留证据举报，技术交流即可，别真搞破坏。