突破安全狗上传文件

zhoujian017 · 发表于 2014-9-12 20:57:38

昨晚刚把蓝翔黑了今天就被08公开群T了。。。麻烦能让我进去搞搞基好吗。。。。。

回正题，下午折腾出来的过狗上传思路，大家看看有没有用，也是一种思路分享；

注意：只讲究原理，请不要对网站进行破坏！

测试站 http://zuozuo.58day.com/upimg/Upfile_Photo.asp 可双文件上传更方遍

360截图20140912201027152.jpg

和南方的很像，我们就直接本地构造省时间：
360截图20140912201406205.jpg

只要上传asp php，cer这样的后缀都被杀，不要问我怎么知道的。（PS文件不含任意代码）
360截图20140912201439376.jpg

我们直接用burp suite本地截断上传：
看代码：cer竟然可以上传了
360截图20140912201535315.jpg

asp测试下：

这里我们只针对会不会被狗拦截，很显然asp没有被狗拦截

php无压力：
360截图20140912201708102.jpg

取名字

聪明的你还不去试试？欢迎喷子来袭！

By 噬魂

net1user · 发表于 2014-9-13 12:31:33

原来是你。

Andre · 发表于 2014-9-13 13:26:58

我不知道08群怎么搞的，id都修改过，不知怎么也被t了

cre123 · 发表于 2014-9-14 13:08:55

lz能讲讲日蓝翔的思路不?

Linda · 发表于 2014-9-15 19:03:08

不错不错。

javexj · 发表于 2014-9-15 19:32:02

那俩符号是截断？还是符号？

默西亚 · 发表于 2014-9-16 17:26:01

{:soso_e179:}赞一个

fl0at · 发表于 2014-10-3 22:01:09

感谢分享!

kz22 · 发表于 2015-1-16 17:06:43

好吧