BUUCTF ACTF2020 upload
先看题,是文件上传
介绍两种方法
1.禁用js
2.bp拦截修改
先讲第一种:
禁用js
起初都简单尝试上传一句话马,会显示被拦截,就会想到前端验证,F12查看源码,禁用js再次上传
删去验证,再次上传会发现被过滤很多文件,最终尝试phtml成功上传,之后就是上蚁剑了就不多说
bp拦截修改
这种方法也是最常用的,按照题目的意思上传一个jpg,bp去拦截再修改为php文件发送,发现还存在后端验证,改用phtml成功上传,后面就是蚁剑了,网站根目录下找到flag