任意文件，改个后缀名，在firefox下，也能成功上传？咋办。

china165 2008-04-22 10:19:38

$_FILES["upfile"]["type"]

'image/jpg',
'image/jpeg',
'image/png',
'image/pjpeg',
'image/gif',
'image/bmp',
'image/x-png'

我改了个.jpg ，其实是txt文件，在 firefox下显示为image/jpeg 怎么办？判断不了。

...全文

118 3 打赏收藏转发到动态举报

写回复

用AI写文章

3 条回复

切换为时间正序

请发表友善的回复…

发表回复

laruence 2008-04-22

打赏
举报

fopen
fread

但是你要研究一下jpg ,bmp等的文件头信息，来判断是否是正常的图片文件

china165 2008-04-22

打赏
举报

怎么读？

laruence 2008-04-22

打赏
举报

如果要这么严格

读文件的头部信息
判断

ctfhub平台web篇wp

YLBCMS是一款多用途的文章管理系统 (商业系统) 系统:JavaScript CSS构建，支持IE（Opera和FireFox脚本不完全兼容），采用EXCEL和ACCESS双数据库支持数据库修改：Data.asp文件修改，无须后缀名，首次使用可在[Setup.asp]中修改 mdb数据库：修改Data文件任意名 [.mdb]后缀（必须小写）和创建全新mdb文件即可，不能含特殊字符特点:文件小，见面整洁，设置简单，管理方便，功能多样化，两种数据库格式，支持MD5加密用途:本系统主要用于手动编辑的新闻文章发布，强大的UBB可以构建一个多样化的系统如代码特效站；软件下载站基本功能支持:UBB 评论留言板导航搜索模版编辑 CSS编辑无限分类（一级，二级）文件上传多用户

桃源网络硬盘支持文件目录多级共享，树状显示系统功能和目录结构，操作方便，拥有上传码功能、文件提取功能、文件转发功能、好友功能等等，详细功能请看以下介绍。桃源网络硬盘.Net简介： 1.多用户注册各自使用，互不干予。 2.在自己的空间中上传多文件及大文件进行在线查看管理，可建多级目录存放。 3.文件目录多级共享，可共享整个用户空间。 4.树状显示系统功能和目录结构，操作方便。 5.界面模板和样式自定义并可由用户在前台选择喜爱的空间风格。 6.共享权限可设好友、所有人、指定人，并可指定共享类别、查看密码、列表修改删除下载等权限。 7.用户的共享目录和文件可自行设置外部空间处固顶和精华。 8.可以按名称、时间、大小、类型、注释、子目录等元素组合搜索文件。 9.文件和目录可进行压缩解压ZIP操作，可以批量上传及批量下载文件。 10.文件提取功能，可同时定义多个文件的提取码，提取码可个性化定义，并可限制下载次数及天数。 11.上传码功能，可定义一个目录的外部允许上传密码，访客可凭此密码上传到此目录。 12.文件转发功能，可将多个文件下载地址通过邮件或短信发送给他人下载，并可限制下载次数及天数。 13.在线编辑文本文件、播放任何影音文件、查看图片内容、对共享文件及目录添加文字注释功能。 14.在线编辑Word，Excel，PowerPoint文件。 15.强大的在线图片编辑功能(缩放，旋转，水印，裁剪)。 16.类似Windows中的图片缩略图预览模式，方便查看图片。 17.注册用户有二级域名空间可以让访客随时访问自己的空间进行文件浏览下载。 18.访客可在外部空间处根据当前权限直接进行添加目录或上传文件。 19.各种文件类型地址点击复制和短地址功能。 20.在空间中上传文件或添加外部网址两种方式。 21.好友功能，可将他人加为好友，并查看对方的指定好友文件及发送短消息。 22.可将好友分组规划，并按分组进行文件共享给指定组的好友。 23.可对自己的所有共享和提取进行查看及管理，批量修改或删除。 24.下载统计功能，可对各个用户下载的每个文件有明确的记录和统计。 25.上传统计功能，可对用户上传的每个文件做记录，监督非法文件。 26.公共目录及公共文件区，显示每个用户共享给所有人的文件及目录列表并可下载。 27.用户可按等级权限自由绑定顶级域名代替外部空间地址，空间地址个性化。 28.用户空间个性化定义公告及标题显示，和对访客留言的查看及管理。 29.站内短信功能，提供收件箱、发件箱、已发送、垃圾箱功能。 30.用户空间中子帐号管理，可建多个相应操作权限的用户登录同一用户空间。 31.网银、支付宝、快钱、财付通、云网、易充、PayNow(台湾)在线支付，用户可任选支付，空间自动续费升级，别人代充，充值卡使用管理。 32.用户积分功能，可积分兑换金币并可升级空间。 33.前台违法举报，实时对上传内容进行管理。 34.网站留言功能，用户可实时向管理员反馈信息，管理员后台回复。 35.自动过滤内容和禁传非法文件，防止不正当使用。 36.可针对不同等级，不同分组的用户设置进入时公告。 37.批量用户管理操作，群发短信/邮件，可对列表中的所有用户统一一次操作。 38.后台实时查看及管理用户上传的所有文件。 39.强大的用户查找，根据有效期、最后登录时间，审核及锁定，等级及分组查找。 40.共享目录及共享文件查看及管理，未共享的文件不会列出，充份保护用户隐私。 41.用户等级制，可设每个等级的空间、上传大小及其它条数限制。 42.为每个等级设置下载速度上限、开启二级域名及等级费用。 43.用户分组功能，可设定一组用户文件的存放盘符及路径，可前台选择，并可多网站管理。 44.允许/禁止的上传扩展名设定，编辑、查看、播放的扩展名设定功能。 45.注册审核、邮件验证、防重复IP注册、时长注册功能。 46.来访IP限制设定和管理员可登录的IP设定。 47.后台管理员可进行管理权限划分并记录操作日志。 48.系统菜单的后台添加和管理。 49.回收站功能，并可在后台设置自动删除时间。 50.文件共享审核功能，杜绝用户共享非法文件。 51.可直观设定目录、文件、用户、公告的外部调用参数，支持模板调用。 52.导入用户功能，支持ACCESS或Excel中导出的TXT格式信息，分项目一次导入。 53.导出用户功能，可选择条件过滤导出，指定导出项目，导出成txt或Excel格式。 54.页面广告分区添加及管理和客户端广告管理。 55.随时在线整理硬盘和数据库中的数据，保持数据最优化。 56.在线压缩及备份数据库功能。 57.管理员可自行制作文件下载详细信息页，放置各种广告代码。 58.独立下载页伪静态功能，可无限建立下载资源站。 59.完善的等级防盗链及流量控制功能。 60.支持大文件、多文件、断点续传、进度显示上传。 61.支持直接下载其它网站文件至空间，带详细进度显示功能。 62.可自动开通FTP帐号对应用户空间进行文件管理。 63.仅需为程序目录及用户存放目录设置写入及修改权限，系统更安全。 64.支持分布式多台服务器协同管理。 65.完美兼容firefox等其它非IE内核浏览器。 66.三层架构模式开发，扩充及调用更方便。 67.内含ajax文件操作技术，更加提高用户体验，提高系统运行效率。 68.支持客户端软件管理。 69.分简体版、繁体版、英文版三种版本。 70.可与《桃源相册管理系统》的用户进行整合。 71.全面的整合接口，支持注册、登录、退出、修改资料及密码、添加、删除、审核、锁定用户，支持不同域名整合。 72.标签及用户和文件信息的参数调用，可单独组合设计前台展示页面。 73.自带插件配置接口，支持插件开发和使用。 74.多种数据库支持：ACCESS、MSSQL、MySQL、Oracle。此次更新如下：更强机制的防注入漏洞修补下载任意文件漏洞上传类型增加系统内置禁止类型设了子帐号却未出现子字删除分组时检测是否有用户属于此组 .net4在共享时选用户时不返回问题多文件转发时下载地址相同的问题旧版用户升级方法： 1.上传除web.config文件、data目录之外的所有文件 2.在浏览器地址栏使用http://程序地址/update.aspx（注意为aspx后缀，非asp）方式浏览，看到升级成功字样即升级成功

在“上传新头像”首先上传PHP一句话，但是会报错。因为只能上传jpg格式，所以只需把php的后缀名改为jpg就可以了。抓取数据包后把403.jpg改为403.php,然后放包，放包后得到如下界面。证明此时操作是正确的，然后返回，右键点击查看图像可以得到图像的路径。改了后缀名后，在打开burp suite抓取数据包。将图像路径复制下来，打开蚁剑，右键添加数据。在上传点中首先注册，登录后点击“个人资料”然后按照下图步骤，测试连接，添加数据。首先打开火狐浏览器，访问上传点（最后可以看到一句话上传成功。

【网络安全 --- 任意文件上传漏洞（2）】带你了解学习任意文件上传漏洞。讲述了任意文件上传漏洞，以及几种绕过方法

基础编程

21,893

社区成员

140,347

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章