[GXYCTF 2019]BabyUpload

image

看到题目是一个文件上传
就先随便传的东西试试,看有什么过滤之类的

image

上传一个一句话木马,提示后缀名不能为ph

image

随便上传了带有一句话木马的图片,发现上传成功,但这个图片不能直接利用,要先上传一个.htaccess类型的文件使图片里面的代码能被解析
.htaccess文件中构造SetHandler application/x-httpd-php这个代码,上传

image

但直接上传被拦截了,使用抓包

image

将这里修改成图片的格式,上传

image

上传成功
再上传一个木马图片

image

直接用蚁剑进行连接getshell

image

image

在根目录下找到flag
posted @   traveller-2333  阅读(294)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 在鹅厂做java开发是什么体验
· 百万级群聊的设计实践
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战
· 永远不要相信用户的输入:从 SQL 注入攻防看输入验证的重要性
· 全网最简单!3分钟用满血DeepSeek R1开发一款AI智能客服,零代码轻松接入微信、公众号、小程
点击右上角即可分享
微信分享提示