渗透之路靶场【第一篇】文件上传之upload-labs

靶场搭建

文件上传靶机下载地址：https://github.com/c0ny1/upload-labs

靶机包含漏洞类型分类

渗透之路靶场【第一篇】文件上传之upload-labs

如何判断上传漏洞类型

渗透之路靶场【第一篇】文件上传之upload-labs

实验

Pass-01

function checkFile() {
    var file = document.getElementsByName('upload_file')[0].value;
    if (file == null || file == "") {
        alert("请选择要上传的文件!");
        return false;
    }
    //定义允许上传的文件类型
    var allow_ext = ".jpg|.png|.gif";
    //提取上传文件的类型
    var ext_name = file.substring(file.lastIndexOf("."));
    //判断上传文件类型是否允许上传
    if (allow_ext.indexOf(ext_name + "|") == -1) {
        var errMsg = "该文件不允许上传，请上传" + allow_ext + "类型的文件,当前文件类型为：" + ext_name;
        alert(errMsg);
        return false;
    }
}

核心源码