[极客大挑战 2019]Upload GIF图片马欺骗等

1.  网站title为上传头像,界面为一个上传框

 

2.  尝试上传最基本的木马,提示非图片,这是第一个需要绕过的点。

 

 

 

 

3.  首先尝试单纯更改木马后缀,提示内容中有<?,意思是不能用php的语言声明。

 

 

 

 

 4.  尝试小小更改绕过<?的检测

 

将后缀改为.jpg尝试上传,还是不行,看来除了对文件后缀名的和内容的检测,还有对文件格式的检测。

 

5.  利用GIF欺骗,在木马前加入GIF89a,并为了上传后的文件有用,将文件后缀改为phtml

phtml为php别名,若是后端过滤为php黑名单,则可以绕过过滤。

上传时抓包更改提交文件类型为image/jpeg

 

 

 成功上传马

 

 

6.  没有具体的文件路径,猜测有/upload文件夹

 

 

 

 

 

 

 看样子成功连上马了,找flag

这里我用了find命令,但是耗时较久,而且找出来了一大堆,乍眼一看没有找到有用信息。

试试回根目录看看,找到了flag

 

 

cd /;cat flag

 

posted @ 2021-03-10 23:09  2hangG3  阅读(410)  评论(0编辑  收藏  举报