上文《Upload-Lab第一關(guān)：輕松繞過(guò)前端驗(yàn)證的技巧！》

在upload-lab的第二關(guān)，我們需要應(yīng)對(duì)MIME類(lèi)型過(guò)濾。MIME類(lèi)型是互聯(lián)網(wǎng)媒體類(lèi)型，用于指示文件的性質(zhì)和格式。在實(shí)際的文件上傳場(chǎng)景中，服務(wù)器通常會(huì)檢查上傳文件的MIME類(lèi)型以確保安全。然而，通過(guò)某些技巧，我們可以繞過(guò)這種檢查并上傳惡意文件。本篇文章將詳細(xì)介紹如何通過(guò)繞過(guò)MIME類(lèi)型過(guò)濾來(lái)攻克upload-lab的第二關(guān)。

第二關(guān)簡(jiǎn)介

在Pass02關(guān)卡中，服務(wù)器會(huì)檢查上傳文件的MIME類(lèi)型，只有當(dāng)MIME類(lèi)型為允許的類(lèi)型（如圖片類(lèi)型）時(shí)，文件才能成功上傳。如果上傳的文件MIME類(lèi)型不符合要求，則會(huì)被拒絕。 源碼如下圖所示：

源碼

繞過(guò)MIME類(lèi)型過(guò)濾的方法

• 使用Burp Suite攔截并修改請(qǐng)求：這是最常用的方法，通過(guò)Burp Suite等抓包工具攔截上傳請(qǐng)求，然后修改MIME類(lèi)型。
• 構(gòu)造特殊的文件：通過(guò)修改文件頭信息，使文件看起來(lái)像是合法的類(lèi)型。

實(shí)踐步驟

(1) 準(zhǔn)備工具

• Burp Suite
• 一個(gè)簡(jiǎn)單的Web Shell文件，例如：

(2) 啟動(dòng)BurpSuite并配置瀏覽器代理

啟動(dòng)Burp Suite并設(shè)置攔截模式，如下圖所示：

啟動(dòng)BurpSuite并設(shè)置攔截模式

配置瀏覽器使用BurpSuite作為代理，如下圖所示：

配置瀏覽器使用代理

上圖中的HTTProy代理地址和端口要與BurpSuite的設(shè)置一致，如下圖所示：

HTTProy代理地址

(3) 此時(shí)上傳webshell，點(diǎn)擊上傳，會(huì)自動(dòng)調(diào)到BurpSuite頁(yè)面，通過(guò)觀察下圖Content-Type的類(lèi)型為application/x-php,因此，我們要對(duì)該類(lèi)型進(jìn)行修改成image/jpeg

Content-Type類(lèi)型修改之前

Content-Type類(lèi)型修改之后

修改后，先點(diǎn)擊Action -> Send to Intruder，接著，點(diǎn)擊Forward,點(diǎn)擊后，會(huì)輸入如下結(jié)果，如下圖所示：

成功返回請(qǐng)求頭

最后，通過(guò)前端頁(yè)面中的源碼看到webshell已經(jīng)成功上傳到服務(wù)器上，如下圖所示：

驗(yàn)證上傳成功

通過(guò)訪問(wèn)類(lèi)似于http://服務(wù)器地址/upload/shell.php?cmd=whoami的URL來(lái)驗(yàn)證WebShell是否工作。如下圖所示：

總結(jié)

通過(guò)這種方法，我們成功繞過(guò)了MIME類(lèi)型過(guò)濾，上傳了惡意文件。這展示了在文件上傳功能中僅依賴(lài)MIME類(lèi)型檢查是不夠的，還需要結(jié)合文件內(nèi)容、擴(kuò)展名等多重檢查手段，才能有效防御此類(lèi)攻擊。