文章目录
让我们看看第一关说了什么
基于“JS本地验证”绕过其实也就是:客户端js检查类型的上传漏洞是Web系统的上传功能在前端页面使用javascript脚本对要上传的文件进行检查,在服务器端没有进行检查,而造成的缺陷。
查看源码,会发现,上传文件的格式只有三种,那么如何绕过达到实现上传我们想要上传的文件也就是我们需要达到的目的了
Burp抓包改包
一.为了抓包成功,我们先将写好的一句话木马文件的格式修改为.jpg格式进行上传,同时burp设置为拦截模式。点击上传,即可拦截到上传的数据包。
此时的格式为.jpg
二:改包
将filename=后的文件修改为:shell.php
三:放包
点开放包按钮,将修改后的数据包发送出去
查看文件是否上传成功
upload-labs-master\upload
可以看到文件格式是.php说明一句话木马上传成功
总结当然客户端js验证绕过上传作为第一关是最基础的绕过方法,不仅仅可以使用burp进行操作同时也可以直接修改源码保存到本地进行绕过。
