upload-labs 解题报告 - 01


修补方案

  1. 不使用JavaScript作为验证工具

漏洞分析

本题是白名单类检测,需要先分析是前端检验还是后端检验。
如图:可以发现,在检测的时候并没有数据发送,可以判断这是前端检测。

那么去查看页面源代码


可以看到,它是基于 js 验证的,那么就可以试着禁用JavaScript。
当然也可以试着让他先通过验证,再在传输层进行修改

解题思路

思路一 - 伪装后缀名

通过burp 拦截到的数据是这样的,说明它是识别文件后缀名,并不检测文件内容。

实现

实操

思路二 禁用JavaScript

JavaScript 的执行是在本地,而不是在云端。是通过本地浏览器所带有的JavaScript 引擎进行执行的。


如果本文帮助到了你,帮我点个广告可以咩(o′┏▽┓`o)


评论
  目录