形势与政策老师让我们在他自己搭的网站上考试,突然发现有个文件上传功能,而且页面十分简陋,直觉告诉我,这百分百有漏洞
网站是window系统,iis服务器,本想着可能需要iis解析漏洞,结果发现直接可以任意文件上传。。。

请输入图片描述

上传的文件会重命名成学号+姓名+上传时间,没什么影响
不过网站只能解析asp,只能上传asp一句话木马
在查看图片处可以得到文件路径

请输入图片描述

直接蚁剑连接,成功!

请输入图片描述

emmm,其实回想一下发现一路上好像没有任何难度,网站没做任何防护,直接白给了属于是

最后修改:2023 年 12 月 15 日
如果觉得我的文章对你有用,请随意赞赏