此测试以upload-labs第三关为例子:
进入靶场:
1.上传文件
打开burp suite 抓包
随便上传一个文件(这里上传了一个1.php)
右键发送intruder模块
2.选中攻击参数
3.payloads选项
上传测试后缀名字典,开始攻击。
这里需要将 url编码取消(不然得到的数据包它会进行编码)
4.分析数据包
发现数据包的状态码都是200成功状态码(但是200不代表你上传成功了)
此时查看你的上传的响应源码
发现上传成功
相反可以看到上传文件格式3843 的就显示失败