文件上传漏洞靶场环境搭建测试

 文件上传漏洞靶场环境搭建测试

打开搭建好的测试网站

这时候明显就写着上传图片格式，php的脚本就上传不上去，这就是一个本地验证，或者叫前端过滤，这时候我们需要绕过这个验证，我们把这关的源码打开看一下

复制下来代码后，我们来到自己电脑桌面新建一个html的文件，把代码放大炮他的源码里面 

 前端一般指的是html，javascript等代码，它的代码过滤写在页面中，这个页面中不分前端后端，举个例子，前端在浏览器看到的源码和文件的源码是一模一样的，比如这个html，所以我们才能复制下来写个文件直接当源码用，而后端 : 例如php文件浏览器显示的源码和文件的源码是不一样的,如下图所示，

php称为后端原因，就是因为它的代码和你前面浏览器访问返回的源码是不一样的，如果html那么服务器的代码和浏览器看到的代码一模一样的。可以直接通过修改复制来的代码，把过滤禁用掉，这种我们大部分的绕过思路就是把源代码复制下来，把过滤给禁用掉。他现在运行在我们本地，我们上传的时候需要更改或添加一个地方，action，先去网站知道的他的上传目标

 

 修改好acting，没有就添加一个，保存好打开好自己的下载来的软件

 上传一个php后缀的文件试试，之后去本地的地址查看一下有没有上传成功

成功了。

这个，不建议burp去抓，有可能抓不到数据包，如果上传不成功就不会有数据包，上传成功了才会数据包，如果改一下代码，他也抓不到了，抓到的原因归根到底是代码的问题，他这里是有一个接受的php代码

他这里有提交所以抓包，如果说这里没有php去接受，它可以只单纯用js对网站的信息截取保存， 用js就抓不到了，因为js在本地运行不会发生到服务器，有时候为什么有些网站发送时抓不到数据包，大概率是这个原因。本地代码（html，javascrip）。

测试靶场的验证就是给前端验证，它能在浏览器执行的，同样浏览器既能执行它，又能禁止他，