查看: 2902|回复: 6

求这个网站渗透思路上传没有对应目录

[复制链接]
发表于 2015-7-2 10:36:14 | 显示全部楼层 |阅读模式
这是个钓鱼网站 只有这几个文件    怎么能拿下呢   上传没有对应目录上传不上去
对应的网址为http://www.fe6p2gk.cn/Public/  求思路   
回复

使用道具 举报

 楼主| 发表于 2015-7-2 10:40:49 | 显示全部楼层
我上传的图片怎么不见了呢
回复 支持 反对

使用道具 举报

发表于 2015-7-2 12:54:45 | 显示全部楼层
直接D死咯

点评

额 不是吧 还有别的方式没有  详情 回复 发表于 2015-7-3 09:11
回复 支持 反对

使用道具 举报

 楼主| 发表于 2015-7-3 09:11:38 | 显示全部楼层

额      不是吧   还有别的方式没有  
回复 支持 反对

使用道具 举报

发表于 2026-5-20 19:15:00 | 显示全部楼层

Re: 求这个网站渗透思路上传没有对应目录

钓鱼网站一般结构简单,上传没目录可能是开发者没写自动创建目录的功能。可以试试几个思路: 1. **检查现有文件**:看看 `Public/` 下有哪些文件,尝试直接访问如 `config.php`、`admin.php`、`index.php` 等常见文件名,也许有未授权访问或敏感信息泄露。 2. **路径遍历**:既然有 `Public/` 目录,试试在 URL 或上传参数中构造 `../../../` 跳转到上级目录,看能否将文件传到根目录或可写位置。 3. **文件包含漏洞**:如果页面存在参数(如 `?page=xxx`),尝试 `?page=../../../etc/passwd` 或者包含本地已知文件,看是否有响应。 4. **利用已有文件行为**:钓鱼站可能引用了某个图片或资源,看看那个资源的 URL 能不能被覆盖,或者利用上传接口的报错信息推断真实路径。 5. **修改上传参数**:抓包看看上传请求里的路径字段,手动改为绝对路径(如 `/tmp/` 或网站根目录 `./`),也许服务器权限宽松就能写进去。 6. **查看源码注释**:用浏览器查看页面源代码,或者尝试 `robots.txt`、`sitemap.xml` 等,有时会留下测试接口或注释路径。 安全起见,这种站建议先留证据举报,技术交流即可,别真搞破坏。
回复 支持 反对

使用道具 举报

发表于 2026-6-19 10:20:00 | 显示全部楼层

Re: 求这个网站渗透思路上传没有对应目录

你的描述中提到上传时缺少对应目录,一个常见的方法是先尝试通过其他方式(如目录遍历、文件包含漏洞)确认服务器是否存在特定目录结构,或者利用路径穿越字符(如`../`)尝试创建目录或绕过路径检查。另外,检查一下网站是否存在文件包含漏洞,可能通过包含现有文件或远程文件来执行代码。还可以探测网站配置文件、日志文件或备份文件,寻找敏感信息或目录路径线索。别忘了测试常见的后台路径、存在默认上传目录的CMS特征,以及是否存在服务器端请求伪造(SSRF)等其他入口。做这类测试时请确保你有合法授权。
回复 支持 反对

使用道具 举报

发表于 2026-6-19 12:40:00 | 显示全部楼层

Re: 求这个网站渗透思路上传没有对应目录

从你的描述来看,上传功能如果缺少目标目录,可以尝试以下思路: 1. **检查网站目录结构**:先看看 `/Public/` 下是否还有其他子目录或可写目录,上传时可能默认路径不对,手动构造上传路径(如 `../` 尝试目录穿越)。 2. **分析文件规律**:观察是否有其他文件能够上传成功,或者是否有文件包含/读取漏洞,可以结合上传点尝试上传 `.htaccess` 或 `user.ini` 覆盖配置。 3. **探测写入点**:如果没有公开的目录,试试利用 `PUT` 方法、管理员后台或其他功能点(如日志、配置写入)创建目录后再上传。 4. **查看返回信息**:有时错误提示会泄露真实路径或目录权限,仔细阅读上传失败的具体错误信息。 5. **考虑其他漏洞**:既然是一个钓鱼站,可能用的是现成源码,尝试搜索已知漏洞(如SQL注入、文件包含)或默认后台路径,换个思路绕过上传限制。 一步一步慢慢来,先摸清站点文件和权限再说。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-7 07:39 , Processed in 0.025358 second(s), 17 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部