文件内容检测突破
在服务端对文件上传验证包含:
1.对文件后缀进行白名单 黑名单检测
2.对文件内容的检查
3.竞争上传
文件内容的检查
content-type检查
上传.php的文件,通过修改上传允许的content-Type来绕过检查,从而上传成功上传php文件。执行webshell
上传图片一句话
正常上传图片,将上传的图片内容加入我们的一句话木马即可 更改上传后缀名即可。
文件头检查
在文件头部添加gif89a
文件相关信息检查
getimagesize()函数
php_exif()检查模块
二次渲染
⼆次渲染:就是根据⽤户上传的图⽚,新⽣成⼀个图⽚,将原始图⽚删除,将新图⽚添加到数据库中。⽐如⼀些⽹
站根据⽤户上传的头像⽣成⼤中⼩不同尺⼨的图像。
绕过: 寻找比对渲染前后图片不变的地方,替换成一句话