文件上传绕过（二）MIME

　　1.简介

　　　　接下来学习第二种文件上传绕过方式

　　2.工具

　　　　靶场：upload-labs

　　　　环境：phpstudy

　　　　抓包工具：burpsuite

　　　　火狐浏览器抓包插件：FoxyProxy

　　　　webshell管理工具：behinder

　　3.实操

　　　　打开第二关，首先尝试上传一句话木马文件，发现提示“文件类型不正确，请重新上传！”

　　　　那么我们打开burpsuite抓包来看一下是前端校验还是后端校验。

　　　　抓到数据了，将数据包发送到repeater模块

　　　　

 

 　　　　这里尝试使用MIME绕过　　　

　　　　首先，我们要了解浏览器是如何处理内容的。在浏览器中显示的内容有 HTML、有 XML、有 GIF、还有 Flash ……那么，浏览器是如何区分它们，决定什么内容用什么形式来显示呢？答案是 MIME Type，也就是该资源的媒体类型。媒体类型通常是通过 HTTP 协议，由 Web 服务器告知浏览器的，更准确地说，是通过 Content-Type 来表示的，例如:content-type:application/octet-stream

　　　　接下来发送到repeater模块并尝试修改content-type的值为图片格式（image/png），点击 send 拿到了相对路径

　　　　

　　　　接下来就是使用webshell工具连接了

　　　　下面列出了常用的MIME对应的类型