CTFHub 文件上传-前端js验证

 

 

根据题目提示去查看源代码中的js脚本

 

在函数checkfilesuffix()中定义了一个白名单whitelist，通过变量file_suffix可以看出该网站需要验证的是上传文件的后缀，

indexOf()返回-1时说明未查找到字符串，综上可得出上传的文件只能是以.jpg、.png、.gif为后缀的

得出这一结论后，我们只需要想着去怎么绕过就行了，这里有两个较为方便的可行方法：

1.直接禁用掉网站的JavaScript

2.先将木马文件的后缀改为.jpg，通过burpsuite抓包后再修改为.php，再进行forward即可实现绕过