因准备ctf比赛,故而从新开始学习,记录一下。
打开题目为一道上传题
一般文件上传分为前端验证与后端验证。
先上传一个马儿看看
看了不太行,将马儿改成图片,在burp里面看
function check(){
upfile = document.getElementById("upfile");
submit = document.getElementById("submit");
name = upfile.value;
ext = name.replace(/^.+\./,''); //删除文件名字
if(['jpg','png'].contains(ext)){ //如果存在是jpg则不disabled
submit.disabled = false;
}else{
submit.disabled = true; //如果不在则启用disabled,并弹窗
alert('请选择一张图片文件上传!');
}
}
大体分为2种方法
1.删除前端验证js代码
①可直接中代码中删除,将check()删除掉可以上传一句话木马
也可以删除disabled函数,此函数在弹出框后才会出现,删除完之后无前端过滤
②把所有js脚本禁 了
输入about:config
之后在上传一句话木马
2.修改后缀
当然最好都是连接蚁剑,注意路径,题目已经给出