CTFHub 文件上传-前端js验证

 

CTFHub 文件上传-前端js验证

 

根据题目提示去查看源代码中的js脚本

CTFHub 文件上传-前端js验证

 

在函数checkfilesuffix()中定义了一个白名单whitelist,通过变量file_suffix可以看出该网站需要验证的是上传文件的后缀,

indexOf()返回-1时说明未查找到字符串,综上可得出上传的文件只能是以.jpg、.png、.gif为后缀的

得出这一结论后,我们只需要想着去怎么绕过就行了,这里有两个较为方便的可行方法:

1.直接禁用掉网站的JavaScript

2.先将木马文件的后缀改为.jpg,通过burpsuite抓包后再修改为.php,再进行forward即可实现绕过

 

上一篇:【无标题】


下一篇:edge浏览器去掉搜索时的方框功能