背景及环境介绍请参考，上期文章网路黑客渗透技术之上传漏洞19关系列-第1关

本关正文

第二关是在服务端做了验证，代码层对文件的MIME类型进行了检查，为了方便理解原理，可以看一下后端的检查代码有关这种场景的绕过方法，使用burp抓包，修改文件上传的content-type类型为白名单允许的图片MIME类型即可

然后就可以绕过检测上传成功了

By the way，许多对安全感兴趣但没有这方面经验的小朋友，看到这里总是感觉显示一个phpinfo的页面能代表什么，能够执行phpinfo(),这个函数证明，上传的文件可以执行PHP脚本，这个时候如果上传的是一句话木马<?php eval($_POST['A'])?>,就可以直接配合『菜刀』拿下整个站点，查看源码，甚至修改数据库或者控制操作系统。