文件上传-绕过MIE-Type验证

本文介绍了MIME-Type,即多用途互联网邮件扩展类型,说明了其用途。还进行了验证MIME-Type的代码分析,介绍利用Burpsuite工具截断HTTP请求、修改MIME-Type类型绕过验证的方法,最后举例说明了上传Webshell及用菜刀连接执行命令的技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

MIME-Type介绍
MIME(Multipurpose Internat Mail Extensions)多用途互联网邮件扩展类型。是设置某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。
例如:
在这里插入图片描述
验证MIME-Type代码分析
查看源代码分析,使用$_FILE[‘upload_file’][‘type’]获取上传文件的MIME-Type类型。其中upload_file是在表单中定义的。
在这里插入图片描述
Burpsuite绕过MIME-Type验证
利用Burpsuite工具截断HTTP请求,在Repeater重放修改MIME-Type类型绕过验证,image/jpeg
在这里插入图片描述

上传Webshell,菜刀连接
例如php的一句话木马: <?php @eval($_POST['cmd']);?>
技巧: 获取上传Webshell的地址,右键图片属性,进行连接。可通过菜刀提供的虚拟终端功能执行目标主机cmd命令。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值