前言
最近打了场XCTF,看到同学在群里交流,自己不自觉留下来没有技术的泪水。。。
好吧,那就开始学吧。。。在网上找到一个不错的上传漏洞汇总的靶场,在本地搭建好环境,开始闭关。。。。。。
靶场源码地址:github.com/c0ny1/upload-labs
我下载的是靶主已经集成配置好的环境进行本地搭建。
地址:github.com/c0ny1/upload-labs/releases
Pass-01
上传一个2.php文件
查看提示:
查看源码:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| function checkFile() {
var file = document.getElementsByName('upload_file')[0].value;
if (file == null || file == "") {
alert("请选择要上传的文件!");
return false;
}
//定义允许上传的文件类型
var allow_ext = ".jpg|.png|.gif";
//提取上传文件的类型
var ext_name = file.substring(file.lastIndexOf("."));
//判断上传文件类型是否允许上传
if (allow_ext.indexOf(ext_name + "|") == -1) {
var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
alert(errMsg);
return false;
}
}
|
发现只允许上传.jpg|.png|.gif类型的文件
未完。。。。。。