2018Web攻防训练营文件上传-绕过MIME-Type验证1.MIME-Type介绍2.验证MIME-Type代码分析3.Burpsuite绕过MIME-Type验证4.菜刀连接虚拟终端功能课程内容01MIME-Type介绍MIME-Type介绍MIME(MultipurposeInternetMailExtensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。例如:02验证MIME-Type代码分析验证MIME-Type代码分析查看源代码分析使用$_FILE['upload_file']['type']获取上传文件的MIME-Type类型。其中upload_file是在表单中定义的。03Burpsuite绕过MIME-Type验证Burpsuite绕过MIME-Type验证利用Burpsuite工具截断HTTP请求,在Repeater重放修改MIME-Type类型绕过验证。image/jpeg04菜刀连接虚拟终端上传Webshell,菜刀连接一句话木马:php技巧:获取上传Webshell的地址,右键图片属性,进行连接。虚拟终端介绍1.MIME-Type介绍2.验证MIME-Type代码分析3.Burpsuite绕过MIME-Type验证4.菜刀连接,虚拟终端功能总结再见欢迎关注Web安全训练营课程
