一次上传点解压缩的渗透测试
接到授权测试,给到的信息只有,目标网站是一个共享3D模型网站,主要的功能只有一个上传模型功能
这个网站没有后台管理员入口,所以这里主要测试上传点
发现注册时可以上传头像,上传限制了白名单,且各种绕过失败(没截到图)
先通过验证码爆破注册了用户test(没截到图,主要是随便加了个手机号,然后确定发送到Intruder对验证码进行爆破,就注册成功了test)
接着上传模型
上传模型处是上传zip,先测试随便上传一个png文件,提示了解压失败,说明文件上传后应该会解压。
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| zkaqzh | 5.00 | 0 | 2021-12-30 17:05:03 | 一个受益终生的帖子~~ |
| Track-劲夫 | 40.00 | 0 | 2021-12-30 14:02:34 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
登录后才可发表内容
返回:技术文章投稿区
实战纪实
Track-劲夫
发表于 2021-12-30
有思路
评论列表
加载数据中...
tnt3t34
发表于 2021-12-31
看到Response就在猜想pavilion在网站中的目录路径,谁料系统可以直接SSH,骚气
评论列表
加载数据中...