您的位置 首页 网络安全

记一次文件上传绕过Error 500

url:https://xxxxxxx.cn/账号:xxxx密码:xxxx (账号密码路边捡的) 登录之后先找…

url:https://xxxxxxx.cn/
账号:xxxx
密码:xxxx (账号密码路边捡的)

登录之后先找下铭感信息接口无果然后无意发现一处上传点

发现只是前端检测,上传改下后续成功上传jsp

就当我以为我又对生活燃起希望时…生活却又狠狠的给我一记重击

生活不易,月球卖艺

500,java类无法编辑,就当我上其他马的时候返回也是一样的结果。

然后我又了试下其他的语法发现好像解析了头文件试下看看能不能打印出时间

梭哈看看

好家伙成功jsp联合html能执行,宛如f12大法

直接上组合拳上一波

<%@ page language="java" contentType="text/html; charset=utf-8"
         pageEncoding="utf-8" import="java.io.*"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
  <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  <title>Insert title here</title>
</head>
<body>
内容
</body>
</html>

成功绕过执行,当然也可以用<%@ include … %>一样的效果

本文来自网络,不代表F12sec立场,转载请注明出处:http://www.0dayhack.net/index.php/67/
小小小月球

作者: 小小小月球

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

CAPTCHAis initialing...

评论列表(2)

联系我们

联系我们

QQ群:884338047

在线咨询: QQ交谈

邮箱: 2676666667@qq.com

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部