再谈上传问题

Jumbo

当上传遇到这样时


可以开burp截包


先选择一张xxx.jpg上传截包改一下格式

发现一任意上传
访问asp 不支持asp  ，


有人就说 这么科普的文还拿出来发不觉得丢人，一般看这都知道改成格式.aspx（可当上传时返回的数据报错了（小编觉得丢人丢大了



后来经过测试，这里的报错因为数据包过多导致报错 （注意看下图，把数据包字符“7”删除掉 再asp后面加上x

好，那么我们来访问.aspx



突破403(/../../../共10个字符 包括0(这个0是0.aspx 那么就11个字符  删除掉11个字符打上即可

访问根目录0.aspx



点评：
第一点，因为上面length规定长度了，所以下面修改包时，要对应长度，所以没必要辛苦的删除多出来的内容，改下上面的length长度即可。
第二点，突破403，是当前目录没权限，../就是跨目录了。