Portswigger 文件上传漏洞 (二) 视频讲解
通过绕过Content-Type上传文件描述
本实验室包含易受测试的图片上传功能。它试图阻止用户上传意外的文件类型,但依靠检查用户可控输入来验证这一点。
为了解决这个实验,上传一个基本的 PHP web shell 并使用它来读取/home/carlos/secret文件的内容。使用实验室横幅中提供的按钮提交此密钥。
您可以使用以下凭据登录到您自己的帐户:wiener:peter
**思路**
上传一个php文件,修改Content-Type属性为image/jpeg即可。
https://blog.bbskali.cn/usr/uploads/2022/07/455782548.mp4
页:
[1]