解析漏洞, 实质上就是寻找(google或者百度查)对应的框架漏洞并利用之。
尽管如此, 我们还是试试老方法走一遍:
发现不管是修改js代码还是抓包修改都不行:
然后, 再试试大小写绕过, 文件名长度, 畸形上次, 各种花里胡哨的方法, 甚至%00截断都不行
预测是白名单过滤
查看网站源码证实一下 (看答案= =):
(图片来源于: webug4.0——上传漏洞篇)
在抓个包看下是什么中间件:
是apache2.4.7版本的, 尝试找找解决方案(没找到.....)
可以借鉴 webug4.0——上传漏洞篇, 尝试用中文绕过.
其他方法待更新.....