本文详细描述了一次CTF比赛中的文件上传挑战。作者首先尝试上传.php文件,但被限制为只能上传.jpg、.png、.gif结尾的图片。通过查看源码找到checkfile函数,尝试删除文件成功。接着,作者利用Burpsuite进行fuzzing,发现.phtml文件可以有回显,于是编写了一个带有文件头幻术的.phtml一句话木马并成功上传,最终通过中国蚁剑连接获取回显,完成挑战。
看题目的标题应该还是一道文件上传的题目:
打开看看
找到了上传点,先上传一个.php的一句话木马试一下
显示该文件不允许上传,请上传jpg、png、gift结尾的图片
看一下有没有白名单或者黑名单
足迹F12看源码:
看到有个checkfile的函数
看看能不能直接删掉
还真的能被删掉
然后传了一个php文件
但是什么回显都没有
一个是后端也被过滤了一遍
那就试一下这个东西能不能传上去
也不行
那就burpsuit抓包fuzz一下
分析phtml可以有回显
那就写一个phtml的一句话木马
可以参考之前的文章:https://blog.youkuaiyun.com/hintll/article/details/117922290?spm=1001.2014.3001.5501
这个html的一句话木马也是加了文件头幻术的
传一下试试:
有回显
直接中国蚁剑去连接:
去交flag
buuctf [ACTF2020 新生赛]Upload 1
最新推荐文章于 2025-06-06 15:57:33 发布
最低0.47元/天 解锁文章
扫一扫
1621
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
