【愚公系列】2022年03月 文件上传渗透测试之绕过内容检查实现文件上传03

举报
愚公搬代码 发表于 2022/03/31 23:16:46 2022/03/31
【摘要】 一、文件上传渗透测试之绕过内容检查实现文件上传03任务描述:Pass-14还可以通过上传.php文件,修改Content-Type,添加GIF图片的文件头GIF89a进行绕过。写一个PHP一句话木马eval.php:上传eval.php并用burpsuite抓包,修改Content-Type为image/gif,添加GIF图片的文件头GIF89a:点击‘go’后在‘response’处查看...

一、文件上传渗透测试之绕过内容检查实现文件上传03

任务描述:Pass-14还可以通过上传.php文件,修改Content-Type,添加GIF图片的文件头GIF89a进行绕过。

  1. 写一个PHP一句话木马eval.php:

  2. 在这里插入图片描述

  3. 上传eval.php并用burpsuite抓包,修改Content-Type为image/gif,添加GIF图片的文件头GIF89a:

  4. 在这里插入图片描述

  5. 点击‘go’后在‘response’处查看响应结果:

  6. 在这里插入图片描述
    成功上传5720190530145028.gif文件。

  7. 利用菜刀,配合文件包含漏洞连接webshell:

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
PHP
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

确认 取消

加入云驻计划,成为创作者

  • 华为云周边好礼
  • 免费体验产品
  • 特殊身份标识
  • 线下官方门票
  • 内部专家零距离
  • 与10000+优质创作者共同成长
立即加入