此时如果继续使用
这种格式进行上传的话,会报错。
(法一)
构造图片一句话木马,用getimagesize()函数识别测试(注意图片大小尽可能的小,不然在上传的时候会报错)
使用的是notepad++进行在尾部添加一句话木马
文件名称是pass.png。然后直接上传,进行连接:
法二:将文件头部构造为图片的格式,然后进行%00上传即可:
采用%00截断的方法可以轻松绕过文件名的检查,但是需要将上传文件的文件头伪装成图片
然后上传
再进行连接:
即可!
部分学习于互联网,中间有不详细的请自行百度,斟酌使用!