文件上传绕过思路拓展

案例一一次项目渗透时,通过往png后缀随便加个字符可知该上传点为白名单上传,正常情况下无法绕过 通过观察接口信息,发现接口名字为UploadImg,猜测该接口用于图片上传,按照开发的习惯,保不准会存在temp、test,这类的接口,随后通过fuzz找到存在的上传接口(file),但此时的接口(file)上传文件仍旧存在限制,需要绕过。 由于黑名单限制不够严谨,经过多个伪后缀尝试,发现.cer后

文件上传
web

信息收集

信息收集信息收集是渗透最重要的阶段,通过一系列的操作尽可能多的收集到多的目标的各种信息,只有先收集到多的信息之后才有利于后续的渗透。 信息收集方式主动收集:与目标主机进行直接交互,从而拿到目标信息,缺点是会记录自己的操作信息 被动收集:不与目标主机进行直接交互,通过搜索引擎或者社会工程等方式间接的获取目标主机的信息 一、收集域名信息知道目标的域名之后,我们要做的第一件事就是获取域名的注册信息,包括

信息收集
web