接到授权测试,给到的信息只有,目标网站是一个共享3D模型网站,主要的功能只有一个上传模型功能
这个网站没有后台管理员入口,所以这里主要测试上传点
发现注册时可以上传头像,上传限制了白名单,且各种绕过失败(没截到图)
先通过验证码爆破注册了用户test(没截到图,主要是随便加了个手机号,然后确定发送到Intruder对验证码进行爆破,就注册成功了test)
接着上传模型
上传模型处是上传zip,先测试随便上传一个png文件,提示了解压失败,说明文件上传后应该会解压。
用户名 | 金币 | 积分 | 时间 | 理由 |
---|---|---|---|---|
zkaqzh | 5.00 | 0 | 2021-12-30 17:05:03 | 一个受益终生的帖子~~ |
Track-劲夫 | 40.00 | 0 | 2021-12-30 14:02:34 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.
Track-劲夫
发表于 2021-12-30
有思路
评论列表
加载数据中...
tnt3t34
发表于 2021-12-31
看到Response就在猜想pavilion在网站中的目录路径,谁料系统可以直接SSH,骚气
评论列表
加载数据中...