直接跳過(guò)弱口令來(lái)到文件上傳階段，情況是這個(gè)樣子的,上傳文件的地方，瀏覽點(diǎn)不開(kāi)，還只能用谷歌瀏覽器才能登錄，猜測(cè)是開(kāi)發(fā)刪除了 JS 上傳的功能(只是猜測(cè))

　　測(cè)試思路

　　當(dāng)時(shí)又不想放棄這個(gè)上傳點(diǎn)，只能強(qiáng)行分析一下相關(guān)的 JS 和 HTML 代碼。嘗試修改參數(shù)讓上傳功能正常使用。 點(diǎn)擊上傳，定位 HTML 源碼

　　這種 iframe 看的難受直接訪問(wèn)上傳的 aspx 文件

　　查看網(wǎng)頁(yè)源碼，有點(diǎn)復(fù)雜，刪改了幾個(gè)可能影響上傳的參數(shù)，還是不能點(diǎn)擊瀏覽，上傳文件

　　先看一下普通的文件上傳 HTML，為下面構(gòu)造復(fù)雜的請(qǐng)求做鋪墊

　　除了 type="file" 需要加一個(gè) filename="XXX", 其他的都一一對(duì)應(yīng)。不過(guò)參數(shù)還是太多了，還是先嘗試一下抓包

　　還算運(yùn)氣，就算沒(méi)有上傳文件,也能正常抓包。應(yīng)該是邏輯上的問(wèn)題，正常來(lái)講是先判斷是否有上傳文件然后保存，這里是先保存后判斷:

　　對(duì)比一下普通文件上傳，少了重要一項(xiàng) filename:

　　回頭去找上傳的 html 源碼，這里 name="Fdata1":

　　嘗試直接加一行, 還是失敗

　　這時(shí)留意了一下 源碼里這個(gè) Savefileupload.aspx 文件，死馬當(dāng)活馬醫(yī):

　　上傳失敗，后來(lái)想了想有可能是順序的問(wèn)題

　　文件上傳成功，接下就是怎么訪問(wèn)了。過(guò)濾了ashx，沒(méi)有過(guò)濾 asHx:

　　后面就是怎么找訪問(wèn)路徑了，花了很長(zhǎng)時(shí)間才找到這級(jí)目錄 /AccsessPath

　　還有就是二級(jí)路徑:

　　老實(shí)講我是看到一個(gè)報(bào)錯(cuò)顯示了相關(guān)信息(這里報(bào)錯(cuò)信息不太好放)，直接查對(duì)應(yīng)公司的源碼才發(fā)現(xiàn)的路徑。后來(lái)才發(fā)現(xiàn) AccessPath/ClientAnnex，要不然確實(shí)有難度, 不過(guò)也有關(guān)聯(lián)信息:

　　總結(jié)

　　還是是實(shí)戰(zhàn)經(jīng)驗(yàn)比較少，如果在報(bào)錯(cuò)信息那邊注意的話，能夠快速確認(rèn)目錄的，在實(shí)戰(zhàn)中能夠節(jié)約不少時(shí)間。另外就是遇到可能的點(diǎn)千萬(wàn)不要放棄，除非你確認(rèn)不存在，多嘗試。細(xì)節(jié)還是很重要的。
　?。?a href="http://www.yibianchina.com/wechat/">邯鄲微信托管）