ysfaka用的Kindeditor的upload js ,很多网站在用,虽然初始没有加上php好像是,但是不管什么格式,都可以上传PHP
而很多上传的JS源码并没有加上安全措施,所以你看到Upload js里的upload源码而你又有一个上传口
下载一个burpsuite换包,注意需要在二进制表里加一个隔断
可以直接上传php,不管他有没有限制php上传,都可以,即使只允许一个jpg格式上传,同样可以
上传小马之后getshell的过程我就不一一讲解了
所以说:只能说ysfaka的措施做得不到位,其实只要获得了上传的权限,随便啥格式限制都能上传马
福建网友:-阅读权限-
未经允许不得转载:美国VPS_搬瓦工CN2 GIA VPS » 说ysfaka有后门的进来,作为一个渗透小菜鸟,我教教你