预备知识:
Content-Type,内容类型,一般是指网页中存在的Content-Type,用于定义网络文件的类型和网页的编码,决定文件接收方将以什么形式、什么编码读取这个文件,这就是经常看到一些Asp网页点击的结果却是下载到的一个文件或一张图片的原因
实验目的
掌握通过修改数据包中Content-Type的值,进行文件上传。
实验工具
Burp Suite中国菜刀
实验环境
服务器一台(页面:http://127.0.0.1/fileupload/fileupload_type.php)客户机一台
实验步骤:
第一步:打开上传网页,右击选择查看页面源代码,页面代码中并没有对上传文件进行限制。
扫描二维码关注公众号,回复:
2749136 查看本文章
第二步:选择木马文件进行上传,上传失败,可能是后台进行了判断。
第三步:尝试用Burp Suite抓包,通过修改包内的Content-Type值进行上传,将application/octet-stream修改为image/jpeg。
上传成功,右击图片,选择复制图像地址,图像地址就是木马文件的地址。
第四步:将木马地址添加到中国菜刀,密码是123,进行其他入侵操作。
