0
点赞
收藏
分享

微信扫一扫

文件上传绕过的常见方式


给你点烟的人有很多,劝你戒烟的人却没几个。。。

----  网易云热评   

一、%00绕过

1、写一个get请求,可以显示提交的参数

<?php
$a=$_GET['id'];
echo $a;
?>

2、查看效果

192.168.139.12/?id=aiyoubucuo

文件上传绕过的常见方式_上传

3、加入%00并转码,不转码没有效果,运行结果如下

文件上传绕过的常见方式_文件上传_02

文件上传绕过的常见方式_文件上传_03

二、JS验证绕过

1、选择文件aiyou.php,开启抓包但是没有抓到包,有弹窗,所以不是服务器验证

文件上传绕过的常见方式_文件上传_04

2、将php文件改为jpg文件,可以添加

文件上传绕过的常见方式_php_05

3、再次开启抓包,点击开始上传

文件上传绕过的常见方式_上传_06

4、将抓到的数据修改为原来的php文件,点击发送,成功上传

文件上传绕过的常见方式_上传_07

文件上传绕过的常见方式_文件上传_08

5、也可以用上面的%00绕过

三、mime类型绕过

1、常见的媒体格式类型如下:

text/html :HTML格式
text/plain :纯文本格式
text/xml : XML格式
image/gif :gif图片格式
image/jpeg :jpg图片格式
image/png:png图片格式

2、上传提示只能上传jpg等图片格式

文件上传绕过的常见方式_php_09

3、修改content-type属性,修改成图片格式的,点击发送,成功上传

 

文件上传绕过的常见方式_文件上传_10

 

禁止非法,后果自负

欢迎关注视频号:之乎者也吧

文件上传绕过的常见方式_php_11


文件上传绕过的常见方式_上传_12

举报

相关推荐

0 条评论