pikachu unsafe Fileupload-Client Check
- 在上传点上传非法文件,提示上传文件不符合要求,且BP没有新的数据包产生,判断为客户端检查
![]()
- 禁用浏览器JavaScript后刷新网页,再次上传文件,提示上传成功,文件路径为uploads/test.php
![]()
edge: 设置->Cookie和网站权限->所有权限->Javascript->禁用
Chorme:设置->隐私与安全->网站设置->内容->JavaScript->禁用 - 根据提供的路径尝试访问webshell 文件,访问成功;路径 http://127.0.0.1/pikachu/vul/unsafeupload/uploads/test.php
- 打开中国蚁剑添加新的数据,添加成功 (注意:蚁剑只能处理POST请求)
![]()
- 记得把JavaScript禁用放开,否则会影响正常网站访问
浙公网安备 33010602011771号