其他分享
首页 > 其他分享> > CTF学习笔记-21iwebsec-文件上传漏洞-06-文件截断上传

CTF学习笔记-21iwebsec-文件上传漏洞-06-文件截断上传

作者:互联网

一、通过burpsuite改扩展名等方法不能上传

在这里插入图片描述

二、用burpsuite配合%00上传

(一)在前缀框输入:6.php%00,如果为空则上传文件保存为"_随机数字+.jpg"的图片文件

在这里插入图片描述

(二)在filename处也加入%00.gif

在这里插入图片描述

(三)在path段,选中%00右击,选择URL-decode,否则会将%00作为普通字符处理

在这里插入图片描述

(四)点击forward上传成功

在这里插入图片描述

(五)虽然提示的文件保存路径和文件名中包含随机数字和jpg,但实际上传的文件名仅为6.php

在这里插入图片描述

三、测试连接

测试连接成功
在这里插入图片描述

标签:文件,00,06,文件名,burpsuite,jpg,上传
来源: https://blog.csdn.net/lifeng_dc/article/details/123576988