WEB攻击与防御技术 pikachu——文件上传漏洞

Posted p201721210024

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了WEB攻击与防御技术 pikachu——文件上传漏洞相关的知识,希望对你有一定的参考价值。

文件上传漏洞

一、client check

首先看到标题是客户端验证

技术图片

 

 用BURP抓包,由于是客户端的检验,直接将抓到的包的文件后缀.png改成.php

技术图片

 

 发送后发现成功绕过,上传成功

技术图片

 

 二、MIME type

MIME类型还是要借助Burp工具来利用

技术图片

 

 

将content type文件头改成png的文件头

技术图片

 

 别的都不需要去更改,点击发送就会发现,文件上传成功,MIME绕过成功

 技术图片

 

 三、getimagesize

以上是关于WEB攻击与防御技术 pikachu——文件上传漏洞的主要内容,如果未能解决你的问题,请参考以下文章

文件上传漏洞攻击与防御

pikachu--文件上传

DDOS攻击网站能不能被防御呢

掌控安全:安全领域知识图谱

Pikachu-Unsafe Fileupload(不安全的文件上传)

Web安全防御(上)