下午進行業務滲透測試,通過目錄掃描掃到業務的幾個接口。
1.其中一個接口是上傳接口,訪問頁面如下:
提示: Request method 'GET' not supported 既不支持GET請求方式
2.通過burp抓包,看看請求包
根據響應包提示,既然不支持get請求,那不如就構造一個Post請求包,ok,那就嘗試構造請求包實現文件上傳,走起
3.通過Change request method修改為Post請求,並點擊send發包
響應包提示內容類型不支持 application/x-www-form-urlencoded,那就繼續修改
4.通過Change body encoding 修改:
通過響應包提示,需要添加filename字段,添加就是
通過響應包提示:數據包缺乏參數type,繼續構造
構造數據包完畢,但是依然報錯,想了很久,發現自己犯了一個傻逼錯誤,------WebKitFormBoundary39xrVbkXGd7Q4RQw-- 是結束符
注意數據包的這一行:
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary39xrVbkXGd7Q4RQw
根據 rfc1867, multipart/form-data是必須的. ----WebKitFormBoundary39xrVbkXGd7Q4RQw 是分隔符,分隔多個文件、表單項。
6.訪問生成的鏈接url:
再來一個:
結束,下班。