Loading

[ACTF2020 新生赛]Upload

[ACTF2020 新生赛]Upload

鼠标移到灯上就发现了上传的点了,直接丢个 木马 看看

image-20220508223610940

上传文件的时候,顺便开启了BP抓包,发现上传的时候,直接弹出了警告,并没抓到数据,说明这里是在前端进行校验的。

image-20220508223916190

先禁用一下 js 再提交,就抓取到数据了。

image-20220508224011709

提交之后,服务端也存在校验,继续绕过服务端的校验

image-20220508224202166

image-20220508224737343

尝试了几种方法之后,发现服务器端是黑名单校验,这样就要测试测试 有哪些黑名单限制了。

image-20220508225214683

最终,在 phtml 上找到了突破口

image-20220508230122359

image-20220508230256746

然后就是 cat /flag 拿flag就可以了。

posted @ 2022-08-13 10:38  knsec  阅读(42)  评论(0编辑  收藏  举报