首先上传一个php文件,发现禁止上传。
这里我们需要嘴一个判断,判断是前端还是服务端禁止了。那么如何判断是前端做了检测?
ps技巧:通过抓包,如果没有数据则可以判断是前端,否则是后端
源代码如下:
可以看到在代码只允许上传的文件类型.
我们上传一个php文件,发现是没有看到数据的,这里可以判断是js拦截
那么如何绕过
方法1:
我们右键检查元素,删除检测文件类型的代码
οnsubmit="return checkFile()
然后上传s.jpg,使用burpsuit抓包,将s.jpg 改成s.php
可以看到是s.php 上传成功。
方法2:简单粗暴,将浏览器的javascript 代码禁用就可以了 ,禁用方式每种浏览器方式大同小异,不会可以问下度娘。
这里设置完成需要重启下浏览器才能生效。上传s.php成功。
