1. 开启靶场环境
2. 随便上传一个图片,开启BP,抓取数据包
3. 发送到Repeater模块,将文件后缀名修改为乱码,查看能否上传成功上传成功,说明是黑名单过滤
4. 发送到Intruder模块选择攻击模式为:Cluster bomb并将文件后缀名改为FUZZ,添加$
5. 进入payloads模块准备一个后缀名字典1.txt然后选择攻击类型为:Runtime file上传准备好的后缀名字典开始攻击
6. 跟据数据包响应体长度Length的不同,可以判断出黑名单内容3849是黑名单,其他都可以