查看: 3608|回复: 10

关于burp上传的问题 来个大牛看看吧

[复制链接]
发表于 2015-9-4 16:10:07 | 显示全部楼层 |阅读模式
本帖最后由 Attack 于 2015-9-4 18:36 编辑



我上次看了黑夜大神的视频 然后看了这个burp上次

这个网站可以上传jpg文件 用burp就不行了

求大神帮帮忙

0.jpg shang1.jpg QQ截图20150904160532.jpg


求大神 求大神
回复

使用道具 举报

发表于 2015-9-4 17:24:16 | 显示全部楼层
http://www.zyanq.com/1.txt

点评

大神 怎么搞啊? 帮帮忙  发表于 2015-9-4 17:53
回复 支持 反对

使用道具 举报

发表于 2015-9-4 17:57:21 | 显示全部楼层
我写个帖子吧

点评

恩恩 谢谢大神  发表于 2015-9-4 18:10
恩恩 谢谢大神  发表于 2015-9-4 18:10
回复 支持 反对

使用道具 举报

头像被屏蔽
发表于 2015-9-4 18:11:36 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

发表于 2015-9-4 18:32:07 | 显示全部楼层
注册一个账号,然后进入控制面板,博客管理,图片添加,然后加个.asp;.jpg格式的一句话木马
看图
图片木马地址是 主站+/Sites/wwwsssaaa333/Images/x.asp;1.jpg
一句话木马很多百度就可以了,然后菜刀。
ggggggggggggggggg.jpg

点评

会用burp 能帮我上传个突破个吗? http://www.jyjmo.cn/hnad/admin_main.php admin admin  详情 回复 发表于 2015-9-7 09:28
嗯呢 谢谢大神 我会了  发表于 2015-9-4 18:35

评分

参与人数 3i币 +13 收起 理由
丨丶钟情 + 5 就喜欢你这样的人
Linda + 3 有逼格
wuyan + 5 乐于助人

查看全部评分

回复 支持 反对

使用道具 举报

发表于 2015-9-7 09:28:02 | 显示全部楼层
wwwsssaaa333 发表于 2015-9-4 18:32
注册一个账号,然后进入控制面板,博客管理,图片添加,然后加个.asp;.jpg格式的一句话木马
看图
图片木马 ...

会用burp 能帮我上传个突破个吗?
http://www.jyjmo.cn/hnad/admin_main.php  admin  admin
回复 支持 反对

使用道具 举报

发表于 2026-5-20 17:00:00 | 显示全部楼层

Re: 关于burp上传的问题 来个大牛看看吧

这个问题我也遇到过,通常是因为 Burp 转发时 Request 里的 Content-Type 或文件数据格式变了。你可以在 Burp 抓包后对比一下浏览器正常上传时的请求和 Burp 重放时的请求,重点关注 Content-Type 是否一致(比如 multipart/form-data 的 boundary 和文件数据部分),还有 Cookie 或 Token 有没有缺失。有时候网站会检查文件名后缀或文件头,Burp 里手动改成 .jpg 并把文件二进制数据开头的几个字节改成图片对应的魔数就能过。你具体是哪一步报错?
回复 支持 反对

使用道具 举报

发表于 2026-6-22 09:15:01 | 显示全部楼层

Re: 关于burp上传的问题 来个大牛看看吧

上传 JPG 文件正常,但用 Burp 改包就不行,常见的原因有几个:网站可能不仅验证了文件扩展名,还验证了文件头(Magic Number)或者 Content-Type 字段。建议你先用 Burp 拦截一个正常上传 JPG 的请求,再拦截一个你修改后的请求,对比一下请求头里的 Content-Type、请求体里文件内容的前几个字节(比如 JPG 文件头是 FF D8 FF),以及文件大小等信息。另外,如果网站有防重放或 CSRF Token,也可能导致直接重放失败。你可以把正常请求和失败请求的原始数据贴出来,大家更容易帮你定位。
回复 支持 反对

使用道具 举报

发表于 2026-6-22 11:35:00 | 显示全部楼层

Re: 关于burp上传的问题 来个大牛看看吧

从描述来看,问题可能出在Burp转发请求时对数据包的处理上。建议你对比一下浏览器正常上传JPG时的抓包内容,和通过Burp直接发送的请求包有什么不同。常见的坑有这几个: 1. **Content-Type** 是否保持为 `multipart/form-data`,并且边界(boundary)字符串要一致。 2. **文件二进制内容** 是否被Burp自动转码了(比如ASCII或Unicode编码),导致服务器无法识别为有效图片。 3. **请求头缺少或多余**,比如 `Content-Length` 不匹配,或者浏览器带了特定的 `Referer`/`Origin` 头而Burp没带。 4. **文件流末尾的换行符** 或者表单字段顺序变动,某些老旧的上传程序对格式很敏感。 你可以先用Burp的“Intercept”模式,在浏览器上传时拦截那个包,然后直接Forward看看是否成功;如果不行,就对比正常包和修改后的包,逐项修复。也可以试试把Burp的“自动修改Content-Length”关掉,手动核对。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-7 08:30 , Processed in 0.043118 second(s), 25 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部