说ysfaka有后门的进来，作为一个渗透小菜鸟，我教教你

ysfaka用的Kindeditor的upload js ，很多网站在用，虽然初始没有加上php好像是，但是不管什么格式，都可以上传PHP

而很多上传的JS源码并没有加上安全措施，所以你看到Upload js里的upload源码而你又有一个上传口

下载一个burpsuite换包，注意需要在二进制表里加一个隔断

可以直接上传php，不管他有没有限制php上传，都可以，即使只允许一个jpg格式上传，同样可以

上传小马之后getshell的过程我就不一一讲解了

所以说：只能说ysfaka的措施做得不到位，其实只要获得了上传的权限，随便啥格式限制都能上传马
福建网友:-阅读权限-

未经允许不得转载：美国VPS_搬瓦工CN2 GIA VPS » 说ysfaka有后门的进来，作为一个渗透小菜鸟，我教教你