查看: 7923|回复: 24

某驾校网站上传点存在截断漏洞,但php文件会被拦截,求...

[复制链接]
  • TA的每日心情
    无聊
    2016-7-19 19:44
  • 签到天数: 37 天

    [LV.5]常住居民I

    发表于 2016-3-29 18:35:56 | 显示全部楼层 |阅读模式
    www.gjjx.com.cn

    注册帐号后 个人信息修改头像处存在上传点。

    QQ截图20160329182748.jpg

    用Burp截断尝试,可以上传任意文件,php也提示上传成功,但打开是404页面
    QQ截图20160329182926.jpg

    不知道是被服务器拦截还是被杀,即使上传PHP文件非木马也是无法打开。
    尝试了我所掌握的各种方法都没突破

    除了php 其他格式的文件好像都能上传 包括html。。。

    http://www.gjjx.com.cn/sites/default/files/upload/201603/7762fd68485c74e4bceec4cafda5ef96.html

    求大神指点一下,怎么突破。。。
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2021-12-20 19:06
  • 签到天数: 554 天

    [LV.9]以坛为家II

    发表于 2016-3-29 19:08:41 | 显示全部楼层
    挂个黑页走人→_→

    点评

    。。。。。。。。  详情 回复 发表于 2016-3-29 19:12
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2016-7-19 19:44
  • 签到天数: 37 天

    [LV.5]常住居民I

     楼主| 发表于 2016-3-29 19:12:35 | 显示全部楼层
    昊情· 发表于 2016-3-29 19:08
    挂个黑页走人→_→

    。。。。。。。。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2019-10-17 06:41
  • 签到天数: 182 天

    [LV.7]常住居民III

    发表于 2016-3-29 20:40:36 | 显示全部楼层
    asp试试

    点评

    asp可以 但不是asp站 解析不了  详情 回复 发表于 2016-3-29 20:41
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2016-7-19 19:44
  • 签到天数: 37 天

    [LV.5]常住居民I

     楼主| 发表于 2016-3-29 20:41:06 | 显示全部楼层

    asp可以 但不是asp站 解析不了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

    发表于 2016-3-30 15:17:43 | 显示全部楼层
    感觉被杀了!不然你传个正常图片,看看路径能访问?

    点评

    路径正常访问的 html都可以  详情 回复 发表于 2016-3-30 16:02
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2016-7-19 19:44
  • 签到天数: 37 天

    [LV.5]常住居民I

     楼主| 发表于 2016-3-30 16:02:36 | 显示全部楼层
    w2015 发表于 2016-3-30 15:17
    感觉被杀了!不然你传个正常图片,看看路径能访问?

    路径正常访问的 html都可以

    点评

    那肯定被杀了啊! 走一句话吧! 或许合成的一句话图片马。  详情 回复 发表于 2016-3-31 21:02
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

    发表于 2016-3-31 21:02:52 | 显示全部楼层
    卓儿~ 发表于 2016-3-30 16:02
    路径正常访问的 html都可以

    那肯定被杀了啊!  走一句话吧! 或许合成的一句话图片马。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2016-4-3 04:52
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2016-4-3 05:45:08 | 显示全部楼层
    前能飞脚救残敌,后能放墙堵队友。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2016-8-19 10:32
  • 签到天数: 80 天

    [LV.6]常住居民II

    发表于 2016-4-6 16:55:22 | 显示全部楼层
    试试带一句话的txt文件试试,如果可以的话,说明并不是杀软,可以尝试一下php3,php4,php5这些后缀

    点评

    老大这是不是被杀了。。。 php3后缀提示传上去了,但页面404,txt(如下)可以成功访问 http://www.gjjx.com.cn//sites/default/files/upload/201604/c7fdad02be6dff529d37ceabfa4a7dc5.txt 可以正常访问。。 [a  详情 回复 发表于 2016-4-6 20:47
    应该不是杀软,php3这种后缀服务器可以解析?  发表于 2016-4-6 20:36
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-22 10:13 , Processed in 0.037464 second(s), 15 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部