Webug4.0 文件上传篇——截断上传
截断上传, 前面的文章 <文件上传漏洞 > 解释过了, 这里不再阐述
直接实战
尝试大小写绕过
未果
看看是否是黑名单绕过
看出是白名单绕过....(有点麻烦)
使出截断绕过
- 注意, 这里新手特别容易犯错: %00是url解码后的, 它解码前是乱码的汉字, 要进行如下的转换
最后发现截断竟然不行....
试试其他截断符号: \0, ?
也都不行....
只能查看源码了...
发现不管截断还是怎样, 最终的文件后缀只要不是白名单里面的, 都会被过滤掉...
这题又需要要用截断上传,,,,实在找不到对应的方法...
先留个坑, 以后解决...
方法1: 尝试中文截断