声明：以下内容均来自“实验吧”免费公益渗透平台，该平台至今仍旧在维护，估计~~，为此把以前保留的笔记拿来分享下。

[实验目的]

   1) 理解绕过Content-Type检测文件类型上传的原理
   2) 学习绕过Content-Type检测文件类型上传的过程

[实验原理]

      当浏览器在上传文件到服务器的时候,服务器对所上传文件的Content-Type类型进行检测,如果是白名单允许的,则可以正常上传,否则上传失败。

      绕过Content-Type文件类型检测 ,就是用BurpSuite截取并修改数据包中文件的Content-Type类型,使其符合白名单的规则,达到上传的目的。

[实验环境]

[实验步骤]

一、 启动BurpSuite，开启代理。

二、绕过验证

笔记：这里的意思是先intercept on开启抓包，再次上传lubr.php 把这个包抓取下来，进行更改，这里就不如在上传之前就开始抓包，不过前提是你得知道他属于哪种漏洞，否则就得先上传再判断，最后，开启intercept on重新上传，把这个包抓取下来，进行更改在forward（发送），来解决问题。

三、连接木马