以前写的文章~~ 这里都是高手~`~ 太垃圾的不敢拿出来`` 大家莫笑话俺
很多菜鸟朋友在得到后台后,经常会遇到一些只允许上传图片格式的站,一般人想到的方法,就是上传个图片的ASP马,抓包上传,或者数据库备份来得到webshell,其实,有时候我们可以不必这么麻烦的,
突破限制,继续Hack....
。一般在上传的过程中,页面会分两种情况。
第一:提交验证,就是在我们上传是,提交我们上传的文件进行验证,如果发现不是图片格式的,就会报个错。
第二:本地验证,就是在上传的页面中,直接嵌套JAVA脚本进行验证,从而判断是否是图片格式的文件。
对于第一种方法:大家可以稍微做下欺骗,例如ASP马.jpg.asp 或者ASP.asp (这里有个空格) 记着,后面+个空格,这样来进行欺骗的。再或者,传个ASA文件,有时候,还是可以突破的。
OK,讲第二种,本文重点:
对于本地的限制的,也就是说,提交页面的验证,本身就在这个提交页里,那么,我们就可以对其进行修改,来达到限制。先看个代码:
Copy code
注意:
请选取图片上传,允许类型为GIF、JPG、JPEG、PNG
。
Copyright©2024 eDreamer
Inc. All rights reserved.
看到了么,这里直接调用了个JavaScript. 脚本来进行验证(可能有些朋友看不懂,没关系,
电脑资料
《突破限制,继续Hack....》(http://meiwen.anslib.com)。我讲简单些),我们只要把之间的脚本删除掉就可以了,然后保存在本地。问题又出来了:如果存在本地,那我们提交的话,如何提交到站上去呢?很简单:
Copy code
注意:
请选取图片上传,允许类型为GIF、JPG、JPEG、PNG
。
Copyright©2024 eDreamer
Inc. All rights reserved.