1.CTF题目
这个题目是让利用你所学到的知识,测试其过WAF,突破上传获取webshell。
2.绕过
经过测试发现,这里有后缀名检测、文件类型检测、文件头检测、文件内容危险函数检测。
(1)针对后缀名检测,系统不允许上传.php文件,那么我们使用.Php这种大写的方式上传文件。一般情况下,后缀名绕过包括空格、00截断、大小写、使用其他后缀名(如系统不允许jsp文件,那么我们可以上传jspx文件,类似php、php2、php3等)等方式。
(2)针对文件类型检测,我们知道在Http协议消息头中,使用Content-Type来表示具体请求中的媒体类型信息。这里可以修改Content-Type的值来绕过系统检测,比如这里修改Co