UPLOAD-lab 1-19关
多多利用查看源码功能,可以提高自身的代码审计能力
提前准备好一张后面填写了php代码的图片。
PASS-01
查看源码,可以根据代码类型看,很明显的看出为js代码,我们可以删除掉js代码,来让php文件可以上传。
第一种方法
一种为可以直接通过网页屏蔽掉js运行。
一种为保存下网址源码,然后在本地删除掉js代码。
第二种方法
我们可以使用burp抓包进行更改
直接将jpg改为php即可
即可上传成功。
PASS-02
查看代码
可以看到是白名单,根据格式得知是mime信息的判断,我们可以通过这个进行绕过。
mime信息就是:content-Type