文件上传之MIME类型检测绕过

最新推荐文章于 2024-07-31 20:29:47 发布
最新推荐文章于 2024-07-31 20:29:47 发布
阅读量4k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WO96354205/article/details/124230182
版权

web安全 网络安全

首先得了解什么是MIME
MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。

常见的MIME类型:
1.text/plain(纯文本)
2.text/html(HTML文档)
3.text/javascript(js代码)
4.application/xhtml+xml(XHTML文档)
5.image/gif(GIF图像)
6.image/jpeg(JPEG图像)
7.image/png(PNG图像)
8.video/mpeg(MPEG动画)
9.application/octet-stream(二进制数据)
10.application/pdf(PDF文档)

MIME检测原理
服务端MIME类型检测是通过检查http包的Content-Type字段中的值来判断上传文件是否合法的。
在这里插入图片描述

抓包分析
发现content-type 类型是application/octet-stream 类型
在这里插入图片描述

改成image/jpeg
在这里插入图片描述

上传成功!

网安探长
关注
27-3 文件上传漏洞 - 文件类型绕过(后端绕过
weixin_43263566的博客
03-17 311
MIME类型类型和子类型组成,中间由斜杠分隔,例如"text/html"表示HTML文档,"image/jpeg"表示JPEG图像等。MIME类型通常用于Web服务器和浏览器之间传输文件时确定文件的正确处理方式,比如指示浏览器将文件下载或者用特定程序打开。当服务器无法识别文件类型或者不知道如何处理特定类型的文件时,通常会使用application/octet-stream作为默认的MIME类型,将文件视为二进制流数据。当服务器无法确定特定文件的MIME类型时,通常会将其视为普通文本文件来处理。
MIME类型绕过漏洞实验报告
weixin_44188298的博客
05-29 492
【实验目的】 掌握上传绕过服务端MIME的原理 掌握上传绕过服务端MIME的方法 【实验工具】 Burp Suite: 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架,本次试验主要用到此软件的Proxy(代理)功能 中国菜刀:是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理,本次
一个MIME检测库.zip
07-11
一个MIME检测
MIME类型检测绕过
m0_73720136的博客
05-06 1747
掌握文件上传的服务端检测中的MIME类型检测原理以及MIME类型在HTTP数据包中的表示形式,php脚本的MIME类型不允许,通过Burp Suite工具抓包将php脚本的MIME类型修改为图片文件的MIME类型绕过MIME类型检测
BoidCMS 文件上传漏洞(CVE-2023-38836)
最新发布
zneVue
07-31 399
BoidCMS v.2.0.0 存在文件上传漏洞,远程攻击者可通过添加 GIF 头部绕过 MIME 类型检查,执行任意代码。
文件上传漏洞-04】服务器端检测绕过实例(包含MIME类型、后缀名、文件内容)
m0_64378913的博客
05-31 1922
目录1 相关基础知识1.1 MIME类型检测概述1.1.1 概述1.1.2 文件格式1.1.3 检测绕过1.2 后缀名检测概述1.3 文件内容检测概述1.3.1 简介1.3.2 图片马的制作方法2 实例操作环境及前期准备简历2.1 操作环境2.2 前期准备3 MIME类型检测绕过实例4 文件后缀名检测绕过实例5 文件内容检测绕过实例6 总结 1 相关基础知识 1.1 MIME类型检测概述 1.1.1 概述 定义:MIME(Multipurpose Internet Mail
MIME类型(Multipurpose Internet Mail Extensions,多用途互联网邮件扩展类型)MultipartFile 多媒体文件上传
beiback的博客
09-03 2094
MultipartFile
文件上传绕过】二、文件类型MIME-TYPE检测
ssrf
10-09 2091
文章目录一、什么是MIME?二、常见MIME类型三、检测代码四、抓包修改MIME类型进行绕过 一、什么是MIMEMIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。 二、常见MIME类型 text/plain(纯文本) text/html(HTML文档) text/javascript(js代码) application/
信息安全技术:绕过服务端MIME类型检测上传.pptx
11-01
【信息安全技术:绕过服务端MIME类型检测上传】 在信息安全领域,保护系统免受恶意文件上传攻击是一项至关重要的任务。MIME(Multipurpose Internet Mail Extensions)类型是互联网上定义文件格式的一种标准,用于...
文件上传————ctfhub之MIME绕过
qq_45655564的博客
05-29 734
什么是MIME MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。 它是一个互联网标准,扩展了电子邮件标准,使其能够支持: 非ASCII字符文本;非文本格式附件(二进制、声音、图像等);由多部分(multiple parts)组成的消息体;包含非ASCII字符的头信息
绕过服务器端对文件内容的检测,文件上传漏洞绕过手段
weixin_42146086的博客
08-10 1180
文件上传漏洞的成因:1.服务器的错误配置2.开源编码器漏洞3.本地上传上限制不严格被绕过4.服务器端过滤不严格被绕过常见上传检测流程 2.文件上传漏洞的危害(1)网站被控制(2)服务器沦陷(3)同服务器的其余网站沦陷3.客户端验证检测 能够看到客户端代码中使用了javascript语言进行了简单的文件后缀名判断这个时候咱们只须要将本机浏览器的javascript模块禁用就可使该段代码不被解析执行。...
使用多种MIME类型测试REST
最佳 Java 编程
05-13 169
1.概述 本文将重点介绍测试具有多种媒体类型/表示形式的RESTful服务。 这是关于使用Spring和基于Java的配置的Spring Security设置安全的RESTful Web Service的系列文章的第十篇。 REST with Spring系列: 第1部分 – 使用Spring 3.1和基于Java的配置引导Web应用程序 P艺术2 - 构建RESTful Web...
文件上传(服务端MIME检测绕过
qq_46110224的博客
10-22 447
目录Content-Type检测二级目录三级目录 Content-Type检测 HTTP协议规定了上传资源的时候在Header中加上一项文件的MIMETYPE,来识别文件类型,这个动作是由浏览器完成的,服务端可以检查类型。不过这仍然是不安全的,因为HTTP header可以被发出者或者中间人任意的修改,不过加上一层防护也是可以有一定效果的。 绕过方法:使用burp代理,修改Content-Type的参数。 text/plain(纯文本) text/html(HTML文档) text/javascr
文件上传 MIME类型检测
weixin_30414305的博客
08-21 839
简介 MIME(Multipurpose Internet Mail Extensions)多用途网络邮件扩展类型,可被称为Media type或Content type, 它设定某种类型的文件当被浏览器打开的时候需要用什么样的应用程序,多用于HTTP通信和设定文档类型例如HTML。 之所以叫多用途网络邮件扩展类型,因为它最早被用于电子邮件系统,后用于浏览器 常见类型 ...
文件上传---MIME绕过
hhj_still的博客
06-10 931
拦截发送的数据包,contenttype字段指明了我们上传的文件的MIME,手动修改为允许的类型(如image/jpeg)
mimetype:一文读懂 Go 文件类型检测库的原理和用法
EDDYCJY的博客
07-11 1737
阅读本文大概需要 4 分钟。mimetype[1] 是一个快速的 Golang 库,用于根据 magic number 来检测媒体类型和文件扩展名。magic number 是文件开头的一些特定字节,用于标识文件的格式。mimetype 库可以根据这些字节来判断文件的 MIME 类型和扩展名,而不需要依赖文件名或其他元数据。工作中,我们需要检测文件类型,用的就是这个库。该库的特性介绍mimetyp...
文件上传漏洞04】服务端MIME检测绕过实验(基于upload-labs-2靶场)
Fighting_hawk的博客
03-01 3429
1. 测试思路:前端JS→服务器端MIME类型。 2. 掌握MIME绕过方法。
探索高效MIME类型检测的利器——League Mime Type Detection
gitblog_00055的博客
05-14 369
探索高效MIME类型检测的利器——League Mime Type Detection mime-type-detectionLeague Mime Type Detection项目地址:https://gitcode.com/gh_mirrors/mi/mime-type-detection 在Web开发中,识别文件的MIME类型是一项至关重要的任务,它影响着数据传输和资源加载的正确性。现在,...
渗透测试-文件上传漏洞之MIME type验证原理和绕过
lza20001103的博客
04-26 3231
上传漏洞之MIME type验证原理和绕过
服务器安全漏洞:验证绕过方法与文件类型识别
当进行网络抓包或者尝试上传文件时,理解这些绕过验证的属性变得至关重要,因为它们可能被恶意用户利用来绕过防火墙、入侵检测系统,甚至进行恶意文件上传文件上传时,服务器会检查每个文件的MIME类型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值