a1key--1

写在前面

必看必看必看必看

2020-04-19T07:43:33.png
2020-04-19T07:49:48.png
2020-04-19T07:50:06.png

正文

今天 一个陪我一直打王者的瑶妹妹说 他相册被偷了 我乍眼一看这 这不是前几天iapp偷相册那个源码 写的吗 因为iapp出身所以还是比较了解的

2020-04-19T07:44:59.png

心急为妹子报仇的我随手抓了这个软件的包
2020-04-19T07:45:20.png

抓包了一下,发现了很明显的上传行为
我访问一下这个地址
哦豁 这不是那个妹子吗 woc
可为啥 你和你发的照片咋不一样我去 说好的金毛长发呢 你.....
(网恋有风险,奔现需谨慎)
2020-04-19T07:47:52.png

冬冬:哈哈哈哈笑死我了,此处艾特另一名网恋受害者@05

访问一下上传接口的文件 发现啥都没有
2020-04-19T07:52:17.png

看了一下源代码
我发现他的上传偷到相册图片文件并没有做过滤
也就是说可以任意文件上传

然后我本地构造一个上传试试,看看能不能成功(代码如下)

2020-04-19T07:52:33.png
发现有东西了

2020-04-19T08:06:19.png

2020-04-19T08:06:32.png

笔者:这里是上传成功了php但是a1师傅传的php文件里面只写了html,内容是img src一个txt,所以效果是上图那样当时我看到这的时候我还以为他写错了,真是不懂这个自诩帅逼的脑回路鸭
2020-04-19T08:06:51.png

最后删库的就不演示了