%00是url编码,使用GET请求是在url地址中添加,服务器会自动解码,而在post中添加服务器不会将%00解码成空字符
此漏洞适用于5.3以下版本
发现可以上传文件格式
抓包
添加php%00
抓包完成
浙公网安备 33010602011771号