本文探讨了在面对白名单过滤机制时,如何利用截断上传技术进行绕过的实战过程。作者尝试了大小写绕过、截断符号及中文截断等多种方法,详细记录了在不同尝试下遇到的问题及解决方案,为读者提供了丰富的实战经验和思考。
截断上传, 前面的文章 <文件上传漏洞 > 解释过了, 这里不再阐述
直接实战
尝试大小写绕过
未果
看看是否是黑名单绕过
看出是白名单绕过....(有点麻烦)
使出截断绕过
- 注意, 这里新手特别容易犯错: %00是url解码后的, 它解码前是乱码的汉字, 要进行如下的转换
最后发现截断竟然不行....
试试其他截断符号: \0, ?
也都不行....
只能查看源码了...
发现不管截断还是怎样, 最终的文件后缀只要不是白名单里面的, 都会被过滤掉...
这题又需要要用截断上传,,,,实在找不到对应的方法...
先留个坑, 以后解决...
方法1: 尝试中文截断
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
