[ACTF2020 新生赛]Upload

目录

• [ACTF2020 新生赛]Upload
  • 首先简单测试一下题目
    • 0x00
    • 0x01
    • 0x02
    • 0x03!
    • 0x04

[ACTF2020 新生赛]Upload

首先简单测试一下题目

0x00

首先打开题目环境
首先题目的名字就是Upload应该是一道文件上传的题目
开始界面如下

可以发下中间灰色的灯泡是可以点亮的

然后就看到了上传点

0x01

上传一个php文件试一试

提示只能上传图片文件，但是没有发送请求
那这应该是再前端部分就对文件名进行了过滤
查看网页源码,发现

<form enctype="multipart/form-data" method="post" onsubmit="return checkFile()">

这其中的onsubmit="return checkFile()为Js前端验证
所以把这删去然后继续上传

0x02

然后发现上传依旧存在过滤
那这应该是后端的文件名后缀检测
抓包，改包

然后上传成功

0x03!

最后使用蚁剑连接上查找flag
最后在根目录下找到flag

0x04

END
acc