下午进行业务渗透测试,通过目录扫描扫到业务的几个接口。
1.其中一个接口是上传接口,访问页面如下:
提示: Request method 'GET' not supported 既不支持GET请求方式
2.通过burp抓包,看看请求包
根据响应包提示,既然不支持get请求,那不如就构造一个Post请求包,ok,那就尝试构造请求包实现文件上传,走起
3.通过Change request method修改为Post请求,并点击send发包
响应包提示内容类型不支持 application/x-www-form-urlencoded,那就继续修改
4.通过Change body encoding 修改:
通过响应包提示,需要添加filename字段,添加就是
通过响应包提示:数据包缺乏参数type,继续构造
构造数据包完毕,但是依然报错,想了很久,发现自己犯了一个傻逼错误,------WebKitFormBoundary39xrVbkXGd7Q4RQw-- 是结束符
注意数据包的这一行:
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary39xrVbkXGd7Q4RQw
根据 rfc1867, multipart/form-data是必须的. ----WebKitFormBoundary39xrVbkXGd7Q4RQw 是分隔符,分隔多个文件、表单项。
6.访问生成的链接url:
再来一个:
结束,下班。