0x00 前言

这是bugkuctf的一道题，不过可以用来练习文件上传

PS

使用大小写Content-Type来绕过waf的检测

0x01 正文

首先上传了一个正常的png图片，发现改了名字，还有重写了后缀

试一下php后缀，发现失败

这里绕一下waf，修改一下Content-Type

这里说是waf采用了严格匹配，也就是说只会匹配multipart/form-data，如果是multipart/form-data;就会进行严格匹配。那么这里可以任意大写其中的一个字母，导致waf没有识别到是multipart/form-data;就会放松检查条件，修改之后发现已经可以上传成功了。

这里可以对后缀进行该写，通过php3,php4等的尝试，发现php5才算是成功

• 点赞
• 收藏
• 分享
• 文章举报