不知道你上传的文件是会回显一部分,还是全部不回显,回显一部分的话我有一点经历
1.查看当前页面是否有网页本身自带的图片,右键复制链接,然后用你bp抓包上传的路径代替图片路径
2.你先上传张jpg图片,看是否能下载或者另存为,然后再复制下载路径,替换图片路径
全部不回显的话,大多数不太好找
扫目录,确定网站附件的存放地址目录如果没有执行权限,可以试试改包增加../../,把文件向上一层,或者其他目录。真不行还得找个任意文件包含漏洞 一般的话就是右键查看图片地址
那这个也太尴尬了把,直接用D盾检测下目录试试把,或者用字符串匹配去检索你的木马特征把。比如利用Grep,Findstr等
用everth 啥的资源查找软件,配合杀毒软件搜下,应该可以查得到
你这个还真不一定找得到,很多文件上传设计比较安全的,他直接随机生成一个suid的目录专门存储这些文件,你从外部是不可能知道这个路径的,除非有别的利用点
有可能还有图床之类的,上传不在本地!
情况分析 :1.真的上传成功a.上传文件存放的目录被设到别的目录;b。上传的asp木马 被服务器防火墙 阻挡过滤 或删除了2.假的上传成功a.文件上传的代码已经被修改了,所提示的成功信息是管理员故意欺骗你的
可以找找看看有没有调用文件的地方能看到路径
自家搭建环境测试的话,用D盾监控一下
看一下数据包内的信息,有没有给你路径信息。