php伪装文件名_PHP识别文件伪装(文件上传)

最新推荐文章于 2023-10-18 18:10:44 发布
最新推荐文章于 2023-10-18 18:10:44 发布
阅读量439 收藏
点赞数
文章标签: php伪装文件名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31698627/article/details/115096405
版权

d2e1b73328f829e8b9e33d81b025a5f2.png

问题:

文件上传时候需要验证上传的文件是否合法,文件伪装如何识别?

一个简单测试:把txt文件后缀直接改成jpg;上传

test Send this file:

1.通过$_FILES['userfile']['type'];获取文件后缀名;$data = $_FILES['userfile'];var_dump($data);/**结果**//*array(5) { ["name"]=> string(8) "test.jpg" ["type"]=> string(10) "image/jpeg" ["tmp_name"]=> string(26) "/private/var/tmp/phpfyE3EC" ["error"]=> int(0) ["size"]=> int(19)}*/

没有检测出来;

2.用pathinfo()函数来获取文件路径的信息$data = $_FILES['userfile'];// var_dump($data);var_dump(pathinfo($data['name']));/**结果**//*array(4) { ["dirname"]=> string(1) "." ["basename"]=> string(8) "test.jpg" ["extension"]=> string(3) "jpg" ["filename"]=> string(4) "test"}*/

没有检测出来;

3.PHP的扩展fileinfo(需要安装开启)$data = $_FILES['userfile'];$filename = $data['tmp_name'];$finfo = finfo_open(FILEINFO_MIME_TYPE);//返回 mime 类型。 自 PHP 5.3.0 可用。$mimetype = finfo_file($finfo, $filename);finfo_close($finfo);var_dump($mimetype);/**结果**///string(10) "text/plain"

可!可!可!监测到文件mime类型并不是一个jpg!

更多相关php知识,请访问php教程!

calo hopehely
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JPG图片伪装器,任意文件伪装为图片
05-27
快速将想隐藏的任意文件(需要先压缩为RAR格式)伪装成JPG图片文件
php文件伪装成jpg上,用户上a.jpg文件文件内容实际为php代码,会不会有安全问题?如果有,如何防止?...
weixin_39982017的博客
03-10 338
很简单,检测文件头,如果不是规定的类型就删除。以下为摘抄自网络的代码示例。function file_type($filename){$file = fopen($filename, "rb");$bin = fread($file, 2); //只读2字节fclose($file);$strInfo = @unpack("C2chars", $bin);$typeCode = intval($s...
获取文件类型
Gaby_JJ的博客
10-24 831
$finfo = finfo_open(FILEINFO_MIME_TYPE);//创建一个fileinfo资源 $mimetype = finfo_file($finfo,$file_dir); echo $mimetype;//video/mp4 finfo_close($finfo);//获取文件大小(字节) int filesize(string $filename)
php文件绕过,文件绕过黑名单的方法
weixin_36268722的博客
03-10 1351
这篇文章主要介绍了关于文件绕过黑名单的方法,有着一定的参考价值,现在分享给大家,有需要的朋友可以参考一下本关主要通过设置上后缀,限制asp,php,jsp 等后缀,不允许上。姿势一:本次绕过方式为修改后缀为.php3,php5等,这里是黑名单验证('.asp','.aspx','.php','.jsp'),我们可上php3,php5...等这样可以被服务器解析的后缀名姿势二:重写文件解析...
伪装成图片的php脚本,[翻译]如何将 PHP Phar 包转化成图像以绕过文件类型检测
weixin_35486751的博客
03-17 544
2018年的美国黑帽大会表明可以从PHAR包中获取RCE,并且可通过调整其二进制内容,将其伪装成完整的有效图像,从而绕过安全检查。接下来就让我们一起看看这是如何做到的吧。背景在2018年的美国黑帽大会期间,Sam Thomas召开了一个关于利用PHP中的Far://流包装器在服务器上执行代码的会议(幻灯片在此)。在执行PHAR包时,PHP会将其内容反序列化,允许攻击者启动PHP对象包含链。最有趣的...
CHGFName.rar_修改文件名_批量_批量修改文件名_文件批量修改名称
09-21
批量修改文件名称: 可以批量的将目录中的所有文件或部分文件按照自己的要求修改文件名
php文件中文文件名乱码的解决方法
01-20
可能会有不少朋友碰到一些问题就是上文件时如果是英文倒好原文名不会有问题,如果是中文可能就会出现乱码了,今天我来给大家总结一下导致乱码php文件中文文件名乱码的原因与解决办法吧。 这几天在windows下...
超级文件批量重命名工具v1.0_命名_批量_文件_文件名_修改_
10-01
超级文件批量重命名工具v1.0批量更改 文件夹以及文件名字 方便好用
php文件你必须知道的几点
10-23
主要介绍了php文件你必须知道的几点,只有真正的理解了这些知识点,打好基础,才能熟练掌握php文件功能的实现。
文件批量改名_批量修改文件名_
09-29
根据列表批量修改文件名,可以加上前缀和其他人性化功能
php 缩略图生成类 V1.2
07-16
缩略图生成类,支持imagemagick及gd库两种处理 功能: 1.按比例缩小/放大 2.填充背景色 3.按区域裁剪 4.添加水印,包括水印的位置,透明度等 * Func: * public set_config: 设置参数 * public create_thumb: 生成缩略图 * private fit: 缩略图片 * private crop: 裁剪图片 * private gd_fit: GD库缩略图片 * private gd_crop: GD库裁剪图片 * private get_size: 获取要转换的size * private get_crop_offset: 获取裁图的偏移量 * private add_watermark: 添加水印 * private check_handler: 判断处理程序是否已安装 * private create_dirs: 创建目录 * private exists: 判断参数是否存在 * private to_log: 记录log * private hex2rgb: hex颜色转rgb颜色 * private get_file_ext: 获取图片类型 ver: 1.2 增加width,height错误参数处理 增加当图片colorspace不为RGB时作转RGB处理 修正使用crop保存为gif时出现透明无效区域问题,使用+repage参数,删除透明无效参数即可
PHP文件时,识别伪装
最新发布
lilcur的博客
10-18 171
我们在编写php文件的时候,可能会忽略了对上文件进行验证,下面我们来进行关于:文件时验证上文件是否合法的问题。
php伪装图片,案例分析之PHP文件时,如何识别文件伪装
weixin_26882891的博客
03-10 733
本帖最后由 huawei 于 2017-3-5 10:35 编辑文件识别文件伪装PHP学院教学总监孙静在web开发过程中文件是不可绕过的话题,上文件的时候需要验证上文件是否合法。通常情况下使用文件扩展名和文件类型来验证是不能识别文件伪装的,我们需要使用php_fileinfo.dll扩展来识别文件伪装。我们来测试一下,首先准备好文件的表单:[HTML] 纯文本查看 复制...
网络靶场实战-PHP代码执行--PNG注入
蛇矛实验室
12-13 1116
当服务器可以将图像文件解释为PHP时,例如弱扩展检查、解析漏洞、本地文件包含漏洞、错误配置PHP解析扩展等方式,可以使用这些技术来造成代码执行。蛇矛实验室成立于2020年,致力于安全研究、攻防解决方案、靶场对标场景仿真复现及技战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成,团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。
绕过php文件改为图片,文件漏洞另类绕过技巧及挖掘案例全汇总
weixin_28744601的博客
03-12 1222
文件漏洞作为获取服务器权限最快的方式,虽然相关资料很多,但很多人对上校验方式、如何针对性绕过检测、哪种上和解析的场景会产生危害等还是比较模糊。本文作一些阐述,然后补充一些除了上webshell的其他非常规挖掘姿势,包括XSS、重定向、Dos、CSRF等等。1、基础知识:要深入了解文件,必须了解上属性、常见文件的结构、图形处理函数等内容。1)报文特点:观察文件报文的特点:Hea...
php木马伪装成图片,木马伪装图片运行的技巧
weixin_39916681的博客
03-23 1540
任意文件当做木马来运行你见过gif、jpg、jpeg、bmp等后缀文件当做木马来运行吗?一个小技巧可以把任意后缀文件当做EXE程序文件来运行。更改exe为gif:@echo offcolor 1AECHO Windows Registry Editor Version 5.00>gif.regECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif]&gt...
文件(包括编辑器上)漏洞绕过总结(适用于pte考试、ctf及常规测试、修复任意文件漏洞可做参考)
weixin_42075643的博客
03-28 3740
文件绕过总结;编辑器文件;渗透测试记录
php伪装文件名_攻击者是如何将PHP Phar包伪装成图像以绕过文件类型检测的(推荐)...
weixin_42510805的博客
03-08 254
在US BlackHat 2018大会上,安全人员证明,攻击者不仅可以利用PHAR包发动RCE攻击,而且,通过调整其二进制内容,他们还可以将其伪装成一幅图像,从而绕过安全检查。在本文中,我们来看看第二点是如何做到的。背景知识在US BlackHat 2018大会期间,Sam Thomas召开了一个关于在PHP中利用 phar:// 流包装器来实现针对服务器的代码执行攻击的研讨会( 幻灯片)。在运行...
php伪装图片,GIF 图片伪装技术
weixin_29847829的博客
03-10 848
GIF89a图形文件是根据图形交换格式(GIF)89a版(1989年7 月发行)进行格式化之后的图形。在GIF89a之前还有87a版(1987年5月发行),但在Web上所见到的大多数图形都是以89a版的格式创建的。89a版的一个最主要的优势就是可以创建动态图像,例如创建一个旋转的图标、用一只手挥动的旗帜或是变大的字母。特别值得注意的是,一个动态GIF是一个 以GIF89a格式存储的文件,在一个这样...
Linux shell编程,备份用户指定的文件,将文件备份到目录“文件名_backup”中(若目录不存在则自动建立),备份文件文件名格式为“文件名_bak_年月日_时分秒”
04-24
5. 将原始文件拷贝到目录下备份文件文件名中 下面是Shell脚本的代码: ``` shell #!/bin/sh # 获取用户指定的文件名 filename=$1 # 判断文件是否存在 if [ ! -f "$filename" ]; then echo "指定的文件不存在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值