第四题:MIME绕过
MIME类型校验就是我们在上传文件到服务端的时候,服务端会对客户端也就是我们上传的文件的Content-Type类型进行检测,如果是白名单所允许的,则可以正常上传,否则上传失败。
首先对上传的一句话木马抓包
将Content-Type这一栏改为image/jpeg
上传成功,使用蚁剑连接,成功连接
第五题:00截断
%00是截断的意思,后面的内容舍弃
上传一句话木马,抓包
将filename中的payload.php改为payload.jpg,将第一行中的upload/后面加上payload.php%00,上传,成功上传文件
使用蚁剑成功
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
