您现在的位置:圣剑网 >> 动画教程 >> 漏洞检测 >> 实战渗透测试第二十课:文件上传之文件类型绕过
实战渗透测试第二十课:文件上传之文件类型绕过
软件大小:14.6 MB
更新时间:2016-11-04 02:28
授权方式:共享版
人气访问:399次
运行环境:Windows All 32/64位
软件评级:
分享好友:
实战渗透测试第二十课:文件上传之文件类型绕过介绍

讲师:上善若水

动画名称:第二十课    文件上传之文件类型绕过

测试环境:Windows xp 系统


_FILE_[file][type]


首先上传jpg格式的文件


文件类型:

Content-Type: image/jpeg


上传php格式的文件


文件类型:


Content-Type: application/octet-stream


文件类型上传很容易识别


一般程序员在写程序的时候都有一个约定俗成,就是大家都喜欢用同样的提示来写程序


配置文件:conn.asp

config.asp


都会提示一个文件上传类型不符合


当看到这个提示的时候我就知道程序做了一个文件类型的上传验证


如何突破


首先上传一个可以通过上传的文件,抓包,看一下是什么文件类型


然后在上传我们的木马文件,同样抓包,把文件类型改为可以通过上传的文件类型即可

实战渗透测试第二十课:文件上传之文件类型绕过下载地址
网友评论

关于圣剑 - 广告服务 - 招聘信息 - 友情连接 - 保护隐私权 - 意见反馈 - 帮助中心 - 联系我们

Copyright © 2016 Sjian.Net Inc. All Rights Reserved.大千网络科技有限公司 版权所有

不良信息举报中心 陕ICP备10005927号 陕公网安备61010402000003号