[GXYCTF 2019]BabyUpload
看到题目是一个文件上传
就先随便传的东西试试,看有什么过滤之类的
上传一个一句话木马,提示后缀名不能为ph
随便上传了带有一句话木马的图片,发现上传成功,但这个图片不能直接利用,要先上传一个.htaccess类型的文件使图片里面的代码能被解析
在.htaccess文件中构造SetHandler application/x-httpd-php这个代码,上传
但直接上传被拦截了,使用抓包
将这里修改成图片的格式,上传
上传成功
再上传一个木马图片
直接用蚁剑进行连接getshell
