【文件上传绕过】二、文件类型之MIME-TYPE检测

最新推荐文章于 2024-09-10 09:18:18 发布
最新推荐文章于 2024-09-10 09:18:18 发布
阅读量2.1k 收藏 6
点赞数 3
分类专栏: 文件上传绕过 文章标签: web js php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44032232/article/details/108987908
版权

文章目录

一、什么是MIME?

MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。

二、常见MIME类型
  • text/plain(纯文本)
  • text/html(HTML文档)
  • text/javascript(js代码)
  • application/xhtml+xml(XHTML文档)
  • image/gif(GIF图像)
  • image/jpeg(JPEG图像)
  • image/png(PNG图像)
  • video/mpeg(MPEG动画)
  • application/octet-stream(二进制数据)
  • application/pdf(PDF文档)
三、检测代码

本pass在服务端对数据包的MIME进行检查!

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' . $_FILES['upload_file']['name']            
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '文件类型不正确,请重新上传!';
        }
    } else {
        $msg = UPLOAD_PATH.'文件夹不存在,请手工创建!';
    }
}
四、抓包修改MIME类型进行绕过

上传webshell

在这里插入图片描述
在这里插入图片描述
修改MIME类型进行绕过

在这里插入图片描述
上传文件

在这里插入图片描述

多学点技术
关注
专栏目录
27-3 文件上传漏洞 - 文件类型绕过(后端绕过
weixin_43263566的博客
03-17 319
MIME类型由类型和子类型组成,中间由斜杠分隔,例如"text/html"表示HTML文档,"image/jpeg"表示JPEG图像等。MIME类型通常用于Web服务器和浏览器之间传输文件时确定文件的正确处理方式,比如指示浏览器将文件下载或者用特定程序打开。当服务器无法识别文件类型或者不知道如何处理特定类型的文件时,通常会使用application/octet-stream作为默认的MIME类型,将文件视为进制流数据。当服务器无法确定特定文件的MIME类型时,通常会将其视为普通文本文件来处理。
绕过服务器端对文件内容的检测,文件上传漏洞绕过手段
weixin_42146086的博客
08-10 1184
文件上传漏洞的成因:1.服务器的错误配置2.开源编码器漏洞3.本地上传上限制不严格被绕过4.服务器端过滤不严格被绕过常见上传检测流程 2.文件上传漏洞的危害(1)网站被控制(2)服务器沦陷(3)同服务器的其余网站沦陷3.客户端验证检测 能够看到客户端代码中使用了javascript语言进行了简单的文件后缀名判断这个时候咱们只须要将本机浏览器的javascript模块禁用就可使该段代码不被解析执行。...
MimeType文件校验demo
08-20
代码演示了几种获取MimeType类型的方法,包括jar包
渗透测试-文件上传漏洞之MIME type验证原理和绕过
lza20001103的博客
04-26 3264
上传漏洞之MIME type验证原理和绕过
MIME (Multipurpose Internet Mail Extensions) 是一种标准协议,主要用于标记电子邮件和其他网络数据包中所携带的内容类型
BLOG域名:programb.blog.csdn.net
08-07 597
邮件内容解析的过程中,不仅涉及对文本信息的理解,还涵盖了对MIME编码附件的解码,以及对安全性的考虑,比如邮件可能经过SSL/TLS加密以保护用户的隐私和数据安全。它最初是为了支持电子邮件中附件的多样性而创建的,允许发送者指定文件的类型,如文本、图片、音频、视频等,这样收件人的电子邮件客户端就知道如何以最合适的方式显示这些附件。此外,安全性也是邮件传输中的一个重要考虑因素。综上所述,HTTP协议通过使用MIME类型,能够有效地识别和处理不同类型的数据内容,从而使得Web内容的呈现更为丰富和灵活。
文件上传MIME类型检测绕过
WO96354205的博客
04-17 4100
首先得了解什么是MIME MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。 常见的MIME类型: 1.text/plain(纯文本) 2.text/html(HTML文档) 3.text/javascript(js代码) 4.application/xhtml+xml(XHTML文档) 5.image/gif(GIF图像) 6.
经过后缀名和MIME-TYPE检查实现文件类型校验
zf_csdn的博客
01-06 1182
文件上传是一个在开发中很常见的需求场景,通常出于安全考虑,我们会对上传的文件进行类型校验,其中常见的有后缀名校验,mime-type校验。
文件上传绕过】——后端检测_MIME-TYPE检测漏洞
weixin_45588247的博客
07-31 2488
文件上传绕过】——后端检测_MIME-TYPE检测漏洞 文章目录【文件上传绕过】——后端检测_MIME-TYPE检测漏洞一、实验目的:、工具:三、实验环境:四、漏洞说明:1. 什么是MIME:2. 常见的MIME类型:3. 检测方式:4. MIME绕过的原理:五、实验过程:1. upload-labs闯关游戏(Pass-0):2. `DVWA(medium级别)`:3. `Pikachu-MIMETYPE`: 一、实验目的: 1、通过本次实验掌握MIME检测的原理。 2、通过upload-labs-m
信息安全技术:绕过服务端MIME类型检测上传.pptx
11-01
【信息安全技术:绕过服务端MIME类型检测上传】 在信息安全领域,保护系统免受恶意文件上传攻击是一项至关重要的任务。MIME(Multipurpose Internet Mail Extensions)类型是互联网上定义文件格式的一种标准,用于...
文件上传————ctfhub之MIME绕过
qq_45655564的博客
05-29 741
什么是MIME MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。 它是一个互联网标准,扩展了电子邮件标准,使其能够支持: 非ASCII字符文本;非文本格式附件(进制、声音、图像等);由多部分(multiple parts)组成的消息体;包含非ASCII字符的头信息
文件上传--2文件上传绕过方式
技术骨干小李的博客
07-29 1155
介绍一下文件上传漏洞中,前端检测绕过mime类型检测绕过
文件上传 MIME类型检测
weixin_30414305的博客
08-21 840
简介 MIME(Multipurpose Internet Mail Extensions)多用途网络邮件扩展类型,可被称为Media type或Content type, 它设定某种类型的文件当被浏览器打开的时候需要用什么样的应用程序,多用于HTTP通信和设定文档类型例如HTML。 之所以叫多用途网络邮件扩展类型,因为它最早被用于电子邮件系统,后用于浏览器 常见类型 ...
mimetype:一文读懂 Go 文件类型检测库的原理和用法
EDDYCJY的博客
07-11 1804
阅读本文大概需要 4 分钟。mimetype[1] 是一个快速的 Golang 库,用于根据 magic number 来检测媒体类型和文件扩展名。magic number 是文件开头的一些特定字节,用于标识文件的格式。mimetype 库可以根据这些字节来判断文件的 MIME 类型和扩展名,而不需要依赖文件名或其他元数据。工作中,我们需要检测文件类型,用的就是这个库。该库的特性介绍mimetyp...
探索MIME类型检测的利器:mimetype
最新发布
gitblog_00259的博客
09-10 389
探索MIME类型检测的利器:mimetype mimetypeA fast Golang library for media type and file extension detection, based on magic numbers项目地址:https://gitcode.com/gh_mirrors/mi/mimetype 项目介绍 在现代的Web开发和文件处理中,准确识别文件的MIM...
MIME类型(Multipurpose Internet Mail Extensions,多用途互联网邮件扩展类型)MultipartFile 多媒体文件上传
beiback的博客
09-03 2126
MultipartFile
什么是MIME类型
热门推荐
cx9977的博客
10-26 1万+
什么是MIME类型 根据百度百科的解释:MIME:全称Multipurpose Internet Mail Extensions,多功能Internet邮件扩充服务。它是一种多用途网际邮件扩充协议,在1992年最早应用于电子邮件系统,但后来也应用到浏览器。MIME类型就是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。 说白了也就是文件的媒体类型。浏览器可以根据它来区分文件,然后
使用多种MIME类型测试REST
最佳 Java 编程
05-13 170
1.概述 本文将重点介绍测试具有多种媒体类型/表示形式的RESTful服务。 这是关于使用Spring和基于Java的配置的Spring Security设置安全的RESTful Web Service的系列文章的第十篇。 REST with Spring系列: 第1部分 – 使用Spring 3.1和基于Java的配置引导Web应用程序 P艺术2 - 构建RESTful Web...
什么是 MIME
jackei的测试生活
02-22 531
  MIME类型就是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。MIME的英文全称是"Multipurpose Internet Email Extension",它是一种多用途网际邮件扩充协议,在1992年最早应用于电子邮件系统,但后来也应用到浏览器。服务
什么是 MIME Type
张晨光老师的播客
03-24 605
一、 首先,我们要了解浏览器是如何处理内容的。在浏览器中显示的内容有 HTML、有 XML、有 GIF、还有 Flash ……那么,浏览器是如何区分它们,决定什么内容用什么形式来显示呢?答案是 MIME Type,也就是该资源的媒体类型。 媒体类型通常是通过 HTTP 协议,由 Web 服务器告知浏览器的,更准确地说,是通过 Content-Type 来表示的,例如: Content-Type:...
绕过MIME-Type验证:Web攻防实战与Burpsuite技巧
在第节的"文件上传-绕过MIME-Type验证-01"主题中,主要探讨了Web应用安全中的一个关键环节——文件上传过程中如何处理MIME-Type验证。MIME-Type(Multipurpose Internet Mail Extensions)是一种标准,用于指示...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

多学点技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值