一、什么是大小写绕过
我们想要上传含有恶意代码的 .php 文件,但 .php 后缀名的文件可能会被 白名单 或 黑名单拦截,从而上传失败,在某些源代码中,没有对文件的后缀用 strtolower()函数 统一进行小写化,这就会存在大小写漏洞,我们可以将 test.php 写作 test.Php,这样就可以绕过源码中的黑名单,达到上传恶意代码文件的目的。
二、通关思路
1、首先进行代码审计,发现大小写漏洞。
2、上传 test.php ,并利用 Burpsuite 进行抓包,将 .php 改为 .Php。
3、发现文件上传成功,在新标签页中打开,可以看到 php 代码成功执行。
代码成功执行。
文章来源:https://www.toymoban.com/news/detail-828479.html
---通关。文章来源地址https://www.toymoban.com/news/detail-828479.html
到了这里,关于文件上传漏洞--Upload-labs--Pass05--大小写绕过的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!