起因
一次授权的渗透测试
两个文件下载页面http://xxx/informationCollect/lawDepartmentCollect/download?filePath=D:\xxx\xxx\xxx\upload\xxx.docx&realName=dama1.jsp
这个很简单了,修改D:\xxx\xxx\xxx\upload\xxx.docx 即可用dama1.jsp文件名下载下来
正戏
有个上传的地方
是这样的
正常抓取的数据包我没有保存
总之就是把上传成功的文件名改为../../../../../这种
然后在下载文件的地方就可以下砸../../../../../这种
结尾
过程挺简单,截图不全,思路就是这样