突破上传之绕过MIME检测
作者:Darkall今日不小心碰到网站一个,简单的注入后,进到后台,找到上传点一只。
遂上传php.php文件,看看RP是否可以爆发,结果没有啊,并有提示信息:
到这里,如果你看过上传漏洞的那篇paper的话,你应该要有一点点思路的,那就是很大可能是服务器检测Content-Type 来张图
那么聪明的你应该懂得怎么绕过了吧?没错,
1.就是修改Conten-type 的属性绕过(怎么称呼不怎么懂)。
2.网站对正常的图片的“进入”是不拒绝的,那么我们来看看上传图片是怎么的吧?
3.
那么,就是如此,上传php.php,用burp sutie截断下来,修改成 Content-type:image/jpeg 就可以成功绕过了。
上传图一张。
沙发我的 哈哈:loveliness: 看看学学回复看看 火钳刘明哈哈 谢谢分享
看看学学 楼主是新人吧,表示支持一下,不过这种技术是好久之前的了哦,希望你能学习一些新的技术来给我们分享,(我这不算喷你吧……) 必须马克一下! 谢谢楼主分享 testKai 发表于 2014-11-7 15:23
楼主是新人吧,表示支持一下,不过这种技术是好久之前的了哦,希望你能学习一些新的技术来给我们分享,(我这 ...
嘿嘿,晓得咧,只是碰到了就写个帖子。
页:
[1]
2