upload-labs靶场第9关

因为是白盒测试 可以看到前端代码 所以我们知道没有禁用掉字符::$DATA 如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名

上传文件进行抓包 修改后缀

截图.png

截图.png

查看完成

截图.png

posted @ 2023-05-24 11:30  慕麒  阅读(145)  评论(0)    收藏  举报