渗透学习笔记之上传文件漏洞

上传文件时，会遇到两种情况，1 文件名不变，2文件名随机命名

 

一般上传 检测有两种，1检测文件类型，本地检测会写在html代码里，可以本地禁用，也可以本地构造，在写个双文件

2 检测文件后缀，然后直接修改文件名

双文件上传原理：
代码
F12 多加一个上传文件的代码即可


数据包


目的是：因为有两个文件 默认是取第二个文件正常上传，但是检测值检测第一个文件，所以修改数据包的时候可以修改第一个文件为正常文件，第二个文件为脚本木马