我们先上传一个php程序试试,提示我们文件类型不正确,可以ctrl+u查看一下源码
并没有在客户端验证,在服务端进行验证,提示告诉我们是在服务端对数据包进行MIME检查
MIME类型语法为type/subtype,type表示文件类别,subtype表示细分的-02
常见的有:
text/plain,text/html,image/png,image/gif,image/jpeg
我们可以先抓取数据包,然后修改文件MIME类型,来绕过。我们使用Burp Suite抓包,修改Content-Type为image/png,再点击forward就可以成功上传了
解题点:服务端通过验证文件MIME类型来判断文件是否合法,可以抓包修改MIME类型
扫一扫
538
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
