当碰到这个功能点的时候,想着先测试是否对所有黑名单文件都进行了绕过(答案是必然的),所以尝试了半晌,使用了多种绕过方式都没通过。后面想着能否上传html文件测一下xss呢?但是它的功能点是只允许上传完后下载不能预览,下载就到别人的客户端了,那么想着xss的方法肯定不行了。

但是后来刷视频刷到xss利用思路,有什么pdfxss(大部分不收我就没试),或者svg的xss,我就抱着尝试的心态去测试,还真的没有把他拉到黑名单,居然可以上传

返回的路径只有删除和下载操作,因为有三个参数分别是id,文件名(加密后的),存储路径

选择下载操作,迫切的希望返回包允许解析javascript这样就可以触发xss然后美美地交洞了

但是想象是美好的现实很残酷,结果是他不允许解析image/svg+xml,

访问下载路径到本地是可以看到明显xss的

痛批这个数据包,为什么不允许解析!!!

能改一下就好了

综上所述,只能钓鱼,还得让人先下载下来,太鸡肋啦