环境准备:构建完善的安全渗透测试环境:推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客
一、黑名单绕过和黑白名单机制:
- 黑名单:黑名单中的文件不允许通过。
- 白名单:白名单中的文件允许通过。
二、黑白名单判断:
当输入一串后缀如"sfahkfhakj"时,黑名单不会拦截,但白名单会拦截。
思路:在创建一个文件后,将文件后缀名改成类似"sfahkfhakj"的不合法字符,然后打开 upload-labs 靶场的第三关。尝试上传这个带有不合法后缀名的文件,如果可以正常上传,则说明目标系统的后台可能存在黑名单绕过或者未进行绕过处理;反之,如果无法上传,则可能存在白名单机制。
三、具体绕过方式:
-
同解析后缀名