Hackinglab上传关第三题解题思路

最新推荐文章于 2023-06-18 10:14:54 发布
最新推荐文章于 2023-06-18 10:14:54 发布
阅读量438 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: php 前端 ViewUI
原文链接:http://www.cnblogs.com/Kog-Maw/p/8874568.html
本文介绍了一种前端文件类型验证的方法及如何通过修改文件名绕过验证的技术细节。使用JavaScript进行文件扩展名检查,确保只有特定类型的文件(如JPG图片)可以通过验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这道题和第一题差不多,都是在前端做的验证:

var filename=document.getElementById("file");
				var str=filename.value.split(".");
				var ext=str[1];
				if(ext==='jpg'){
					return true;
				}else{
					alert("请上传一张JPG格式的图片!");
					return false;
				}
				return false;

和第一题唯一的区别就是字符串分割之后的取值
这道题连新建一个没有js验证的html都不用,直接将文件名改成a.jpg.php就可以绕过。

转载于:https://www.cnblogs.com/Kog-Maw/p/8874568.html

黄小二哥
关注
[hackinglab][CTF][上传][2020] hackinglab 上传 writeup
dadongwudi的博客
01-17 272
上传 1 请上传一张jpg格式的图片 键字: 步骤: 1.F12查看源码 2.输入网址 获得key http://lab1.xseclab.com/upload1_a4daf6890f1166fd88f386f098b182af/upload_file.php 上传 2 键字:burp 知识点: 步骤:看源码 抓包 改后缀 IKHJL9786#$%^& 上传 3 键字: 知识点: 步骤:看源码 抓包 改后缀 ...
hackinglab-上传3——请上传一张jpg格式的图片3
Ifish的博客
07-31 898
上传一张jpg格式的图片3 目描述 解题思路 这道和上道一样,不需要修改为test.php,直接上传即可得到key
hackinglab上传第二
weixin_30432007的博客
04-07 259
上传一张jpg格式的图片 分值: 150 只能是jpg哦! 通地址 本去除了js限制,改为通过Content-Type判断,先上传一个php文件,火狐按f12看到请求体,点击编辑并重发: 改成这样之后点击发送,在响应里面就能看到flag了 转载于:https://www.cnblogs.com/Kog-Maw/p/8734060.html...
hackinglab上传
Yale的博客
04-07 2451
上传 1.请上传一张jpg格式的图片 查看源代码,有个upload_file.php   点进去就出来key了     2.请上传一张jpg格式的图片 Burp抓包后将jpg随便改为什么,key就出来了   3.请上传一张jpg格式的图片 这里的源码的作用是分割文件名并验证后一部分 所有构造xxx.jpg.txt就可以了
Hackinglab文件上传解题笔记
FunkyPants的博客
09-30 611
环境:Firefox浏览器+FireBug插件   1.      目中要求上传一个jpg文件,但是如果你真的上传了一张jpg图片时…   可知,我们应该还是要上传一个php文件。 按F12可以看到,在前端有一个js脚本会对我们上传的文件类型进行验证。接下来,在安装了FireBug插件后,我们可以直接删除表单中触发js事件的onsubmit属性。 删除之前:   单击,删
hackinglab上传第一
weixin_30684743的博客
04-07 163
上传一张jpg格式的图片 分值: 100 只能上传jpg格式的图片哦~! 通地址 看源码,js做的文件后缀验证,极端不安全。由于我没有开brupsuit,所以将源代码复制到本地,新建一个html,内容如下: <html> <head> <meta http-equiv=Content-Type content="text/html...
2021年mathorcupD解题思路参考-代码.zip
10-11
【标】"2021年mathorcup D解题思路参考-代码.zip" 提供的是于2021年mathorcup挑战赛中D解题思路及参考代码。mathorcup是一个知名的数学建模竞赛,旨在锻炼参赛者的数学应用能力、逻辑思维以及编程技能。该...
【数学建模】2021华为杯E解题思路(更新).docx
12-21
数学建模 MATLAB 精确定位问解题思路 本文档对应的知识点包括: 1. 数学建模:数学建模是指使用数学方法和工具来描述、分析和解决实际问的过程。在这里,数学建模用于解决超宽带(UWB)精确定位问。 2. ...
美赛e解题思路PDF
最新发布
08-04
美赛E解题思路可以从以下几个方面展开: 1.理解问背景:首先,需要充分理解题目的背景和要求,明确要解决的主要问和目标。这一步是解题的基础,也是后续步骤的前提。 2.数据收集与处理:根据目的要求,可能...
2020美赛A解题思路(Moving North)
01-06
文前推广 《计算机保研经历分享》 —— 大学期间参加了有含金量的比赛,该如何利用自身的优势保研、考研或求职?或者仅仅就是为了做一份好看的简历“以备不时之需”? —— 注我的文章,我会后期开始更新文章,以...
2023 电工杯 B 解题思路详细分析.zip
05-25
从提供的文件名"2023 电工杯 B 解题思路详细分析.zip"和"2023 电工杯 B 解题思路详细分析.docx"来看,我们可以推测这是一个于解答2023年电工杯竞赛B的深入解析文档。这份文档很可能是由竞赛的专家或者参赛者...
Hackinglab(鹰眼)——上传
计算机硕士的博客
06-18 168
Hackinglab(鹰眼)——上传(详细版),包括了做思路和详细步骤。 请上传一张jpg格式的图片1、请上传一张jpg格式的图片2、请上传一张jpg格式的图片3
靶场练习之hackinglab(鹰眼)- 上传
快乐时光
05-17 254
1、上传jpg图片文件 目提醒上传jpg格式的图片文件,访问链接http://lab1.xseclab.com/upload1_a4daf6890f1166fd88f386f098b182af/,查看网页后台发现前台上传时会进行后缀名验证,现选择一个文本文件,将后缀名修改为jpg,然后进行上传上传之后页面跳转到http://lab1.xseclab.com/upload1_a4daf6890f1166fd88f386f098b182af/upload_file.php,刷新当前页面...
hackinglab-上传2——请上传一张jpg格式的图片2
Ifish的博客
07-31 948
上传一张jpg格式的图片2 目描述 解题思路 查看源码,意思是检测上传文件名的第一个.后的字符串是不是jpg,所以把文件名改为test.jpg.php即可绕过,抓包改成test.php即可 ...
hackinglab-上传1——请上传一张jpg格式的图片1
Ifish的博客
07-31 1416
上传一张jpg格式的图片1 目描述 解题思路 查看源码,意思是检测上传文件名的最后一个字符串是不是jpg,所以把文件名改为test.php.jpg即可绕过,抓包改成test.php即可 ...
hackinglab-脚本3——这个目是空的
Ifish的博客
07-23 792
这个目是空的 目描述 解题思路 这道连通地址也没有,大概就是考脑洞了。 什么才是空的呢,提示是小写,那就是null了, 提交显示正确。...
Hackinglab_Ctf闯攻略(基础)(自己部分更改)
大方子
09-02 3601
地址:http://hackinglab.cn/ 1:Key值藏在哪里? 过地址:http://lab1.xseclab.com/base1_4a4d993ed7bd7d467b27af52d2aaa800/index.php 这道很简单,直接查看下源代码就行了! 成功拿到 key  下一! 2:再加密一次就拿到key啦~ 加密之后的数据为 xrlvf23xfqwsxsqf ...
HackingLab 综合
4ct10n
12-21 3498
第一1.首先注册账号 然后让你注册手机号,但是目提示源码中有内部人员的手机号 于是查看源代码号码为13388453871 通过burpsuit发现该请求有三个字段 于是绑定成功,想想我们将该手机号绑在了admin的账号上。下一步就很明显了,利用查找密码功能找回admin密码。 2.利用Forgetpassword? 通过用户名:admin;密码:XXXXXXXX 登录进去 即可
网络安全实验室 综合 解析
wh1te 小白的博客
11-08 2624
网站地址:http://hackinglab.cn/ShowQues.php?type=pentest  第一 渗透测试第一期 先看看 登录界面 发现可以注册和忘记密码 (忘记密码可以重置密码) 思路如下,重置admin密码 发现 不能直接重置密码 查看注册界面  注册完以后 需要绑定手机号码 抓包看一下  上传参数有用户名  尝试修改为admin 绑定成功 再次尝试重置...
LeetCode第三解题思路与代码实现
文件名中包含的数字“3”可能表示这是第三天练习的一部分,或是与LeetCode第三的测试案例。 综合以上信息,我们可以推测,这是一篇围绕LeetCode平台上的第三第三解题经历或解决方案,可能包含对相源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值