首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

文件上传02服务端检测绕过(MIME类型检测)

作者:COCO歧 | 来源:互联网 | 2024-11-30 15:50
本文记录文件上传学习过程,教程为《UploadAttackFrameworkV1.0》文件上传检测客户端javascript检测(通常为检测文件扩展名)服务端MIM

本文记录文件上传学习过程,教程为 《Upload Attack Framework V1.0》


文件上传检测
  1. 客户端Javascript 检测(通常为检测文件扩展名)
  2. 服务端MIME 类型检测(检测Content-Type 内容)
  3. 服务端目录路径检测(检测跟path 参数相关的内容)、
  4. 服务端文件扩展名检测(检测跟文件extension 相关的内容)
  5. 服务端文件内容检测(检测内容是否合法或含有恶意代码)

服务端检测绕过(MIME类型检测)

  1. 简介

    检测上传到服务器的文件类型,在 burp 抓包可以看到类似于 Content-Type: image/gif

    检测内容:

    在这里插入图片描述

    实例:

    地址是: http://www.heibai.net/articles/hacker/ruqinshili/2011/0325/13735.html

  2. 源代码

  3. 绕过

    使用 burp 抓包

    上传本地文件 2012.asp

    在 burp 的 request 包里可以看到

    Content-Type: text/plain

    修改:Content-Type: text/plain -> Content-Type: image/gif

    像这种服务端检测http 包的Content-Type 都可以用这种类似的方法来绕过检测


推荐阅读
  • string

    解决FCKeditor应用主题后上传问题及优化配置

    解决FCKeditor应用主题后上传问题及优化配置
    本文介绍了在Freetextbox收费后选择FCKeditor作为替代方案时遇到的上传问题及其解决方案。通过调整配置文件和调试工具,最终解决了上传失败的问题,并对相关配置进行了优化。 ... [详细]
  • string

    PHP 5.2.5 安装与配置指南

    PHP 5.2.5 安装与配置指南
    本文详细介绍了 PHP 5.2.5 的安装和配置步骤,帮助开发者解决常见的环境配置问题,特别是上传图片时遇到的错误。通过本教程,您可以顺利搭建并优化 PHP 运行环境。 ... [详细]
  • string

    PHP Eloquent ORM 中的关联查询扩展

    本文探讨了如何在 PHP 的 Eloquent ORM 中实现数据表之间的关联查询,并通过具体示例详细解释了如何将关联数据嵌入到查询结果中。这不仅提高了数据查询的效率,还简化了代码逻辑。 ... [详细]
  • string

    当unique验证运到图片上传时

    当unique验证运到图片上传时
    2019独角兽企业重金招聘Python工程师标准model:public$imageFile;publicfunctionrules(){return[[[na ... [详细]
  • string

    PHP 实现微信素材上传

    本文介绍了如何使用PHP代码实现微信平台的媒体素材上传功能,详细解释了API接口的使用方法和注意事项,确保文件路径正确以避免常见的错误。 ... [详细]
  • js

    高效解决应用崩溃问题!友盟新版错误分析工具全面升级

    高效解决应用崩溃问题!友盟新版错误分析工具全面升级
    友盟推出的最新版错误分析工具,专为移动开发者设计,提供强大的Crash收集与分析功能。该工具能够实时监控App运行状态,快速发现并修复错误,显著提升应用的稳定性和用户体验。 ... [详细]
  • string

    解决 SmartUpload 上传路径问题

    本文详细介绍了在使用 SmartUpload 组件进行文件上传时,如何正确配置和查找文件保存路径。通过具体的代码示例和步骤说明,帮助开发者快速解决上传路径配置的问题。 ... [详细]
  • string

    解决PHP与MySQL连接时出现500错误的方法

    解决PHP与MySQL连接时出现500错误的方法
    本文详细探讨了当使用PHP连接MySQL数据库时遇到500内部服务器错误的多种解决方案,提供了详尽的操作步骤和专业建议。无论是初学者还是有经验的开发者,都能从中受益。 ... [详细]
  • client

    Python自动化处理:从Word文档提取内容并生成带水印的PDF

    Python自动化处理:从Word文档提取内容并生成带水印的PDF
    本文介绍如何利用Python实现从特定网站下载Word文档,去除水印并添加自定义水印,最终将文档转换为PDF格式。该方法适用于批量处理和自动化需求。 ... [详细]
  • client

    帝国CMS多图上传插件详解及使用指南

    帝国CMS多图上传插件详解及使用指南
    本文介绍了一款用于帝国CMS的多图上传插件,该插件通过Flash技术实现批量图片上传功能,显著提升了多图上传效率。文章详细说明了插件的安装、配置和使用方法。 ... [详细]
  • instance

    解决JAX-WS动态客户端工厂弃用问题并迁移到XFire

    解决JAX-WS动态客户端工厂弃用问题并迁移到XFire
    在处理Java项目中的JAR包冲突时,我们遇到了JaxWsDynamicClientFactory被弃用的问题,并成功将其迁移到org.codehaus.xfire.client。本文详细介绍了这一过程及解决方案。 ... [详细]
  • js

    创建项目:Visual Studio Online 入门指南

    创建项目:Visual Studio Online 入门指南
    本文介绍如何使用微软的 Visual Studio Online(VSO)创建和管理开发项目。作为一款基于云计算的开发平台,VSO 提供了丰富的工具和服务,简化了项目的配置和部署流程。 ... [详细]
  • instance

    Struts与Spring框架的集成指南

    Struts与Spring框架的集成指南
    本文详细介绍了如何将Struts和Spring两个流行的Java Web开发框架进行整合,涵盖从环境配置到代码实现的具体步骤。 ... [详细]
  • string

    初探七牛云存储:实现多服务器图片共享

    为了解决不同服务器间共享图片的需求,我们最初考虑建立一个FTP图片服务器。然而,考虑到项目是一个简单的CMS系统,为了简化流程,团队决定探索七牛云存储的解决方案。本文将详细介绍使用七牛云存储的过程和心得。 ... [详细]
  • string

    Java中使用FTPClient实现文件上传与下载

    在Java应用程序开发过程中,FTP协议被广泛用于文件的上传和下载操作。本文通过Jakarta Commons Net库中的FTPClient类,详细介绍如何实现文件的上传和下载功能。 ... [详细]
author-avatar
COCO歧
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有