文件上传靶场—使用图片马绕过上传内容验证

查看源码：

image.png

可以看到，这里是通过读取上传文件的头两个字节来判断文件类型的，所以这里就只能上传图片马了。

制作图片马：

image.png

然后上传，查看图片元素：

image.png

OK，上传成功。

PS：由于上传后文件名的后缀即其所判断的图片类型的后缀，而且这里也不存在文件包含或者其他什么漏洞，所以无法用菜刀进行进一步的利用。