Yokan

摘要： 找到上传点，先初步判断一下做了什么防御手段： 客户端检查 利用burp抓包改包，先上传一个jpg类型的木马，然后通过burp将其改为asp/php/jsp后缀名即可 服务端后缀黑名单 上传特殊可解析后缀 asp|asa|cer|cdx aspx|ascx|ashx|asax|asac php|php 阅读全文