13 个回答
0 赞同
【2021BCS×补天 参与话题讨论赢三倍金币】您最擅长挖什么类型的...
擅长逻辑漏洞,但最深刻的一次挖洞经历是文件上传,由于后台对文件名无限制,但上传的文件里面的内容会当成txt格式打印在网页,最后也是配合html标签等getshell了。
回答于 2021-08-08 19:47
0 赞同
0 赞同
任意文件上传需要getshell执行命令才有危害吗?
不算,如果是403无法访问的话,可能是权限不足,可以尝试../../跳跃目录,如果是404的话,可能是有waf被杀了,或者本身就不允许上传,getshell大多数用phpinfo这类打印系统环境信息的就行了
回答于 2021-07-31 04:32