文件内容检测突破

在服务端对文件上传验证包含:

1.对文件后缀进行白名单 黑名单检测

2.对文件内容的检查

3.竞争上传

文件内容的检查

 

 

content-type检查

 上传.php的文件，通过修改上传允许的content-Type来绕过检查，从而上传成功上传php文件。执行webshell

 

 

 

 

 上传图片一句话

正常上传图片，将上传的图片内容加入我们的一句话木马即可 更改上传后缀名即可。

 

 

文件头检查

在文件头部添加gif89a

文件相关信息检查

getimagesize()函数

php_exif()检查模块

 

二次渲染

⼆次渲染：就是根据⽤户上传的图⽚，新⽣成⼀个图⽚，将原始图⽚删除，将新图⽚添加到数据库中。⽐如⼀些⽹

站根据⽤户上传的头像⽣成⼤中⼩不同尺⼨的图像。

 

绕过: 寻找比对渲染前后图片不变的地方，替换成一句话