Loading

XCTF-Web进阶-upload1

 

 

 

 显然是让我们上传文件,思路当然是上传一个木马文件,然后通过蚁剑连接查看目录获取flag。

 

 

 但是当我们想要上传php文件的时候会出现弹窗,并且连“上传”按钮都被禁用了。

ext = name.replace(/^.+./,’’)删除文件的名称。
if([‘jpg’,‘png’].contains(ext)):检查后缀是否为jpg,如果不是就禁用按钮并弹窗报错。

 

 

 删除这个限制就可以上传了。

上传之后会弹出路径,直接使用蚁剑连接

 

查看flag.php文件得到flag

 

 另一种方式查看目录

 

 

 

 

 

posted @   Hel10  阅读(2295)  评论(0编辑  收藏  举报
努力加载评论中...
点击右上角即可分享
微信分享提示