1.后台上传处。
2.这个是什么意思啊
明明有aspx类型啊3.使用解析漏洞的话 自动更名 没辙了。
解决办法:确实有这种情况,明明名单里允许上传asa cer aspx等。根据经验一般这种情况属于脚本内也定义了允许上传的类型,所以这样名单里有也无法上传。一般这种情况多出现在前端+后端 同时控制上传类型,这样基本就很难突破了。不过这里看到了eweb编辑器,可以审查元素刷新下界面,看看eweb的真实加载路径是多少,尝试从eweb突破可能会有收获。不过现在很多eweb的数据库只读了,具体还是看运气了。另外包里http头信息参数和cookie和正文中无上传路径和可疑上传控制路径等参数外,这个自动重命名只能试试截断了。还是建议从eweb突破,哪怕shell拿不下,可以利用其遍历,遍历到web目录看看是否有其他网站,这样思路就会很多。