一个文件下载

起因

一次授权的渗透测试
两个文件下载页面
http://xxx/informationCollect/lawDepartmentCollect/download?filePath=D:\xxx\xxx\xxx\upload\xxx.docx&realName=dama1.jsp
这个很简单了,修改D:\xxx\xxx\xxx\upload\xxx.docx 即可用dama1.jsp文件名下载下来

正戏

有个上传的地方
是这样的

正常抓取的数据包我没有保存

总之就是把上传成功的文件名改为../../../../../这种

然后在下载文件的地方就可以下砸../../../../../这种

结尾

过程挺简单,截图不全,思路就是这样