实战之文件上传绕过后缀检测Getshell

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

一个上传头像功能点，尝试绕过后缀检测均未成功。

看到typefileTypebreach,根据以往渗透测试经验就是把参数修改成0、1、2这些看是不是能绕过文件类型检测。

发现都不可以，以往fileType可能是1代表文件、2代表图片文件。但是都以失败告终准备放弃了，突然想起来还有一个参数all代表全部。

激动人心啊看能不能成功解析。

解析成功直接上一句话木马。

疑似有一句话木马检测，直接上免杀马。

上传成功。

完美收工。

原文始发于微信公众号（安全无界）：实战之文件上传绕过后缀检测Getshell