目录

• [RoarCTF 2019]simple_uplod
  • 1、ThinkPHP文件上传
  • 2、upload()多文件上传
  • ThinkPHP上传文件名暴破

[RoarCTF 2019]simple_uplod

题目复现链接：https://buuoj.cn/challenges
参考链接：官方wp

1、ThinkPHP文件上传

参考官方文档可知并没有题目中限制后缀名的方法，所以可以无视allowext
http://document.thinkphp.cn/manual_3_2.html#upload

2、upload()多文件上传

upload()函数不传参时为多文件上传，整个$_FILES数组的文件都会上传保存。
题目中只限制了$_FILES[file]的上传后缀，也只给出$_FILES[file]上传后的路径，那我们上传多文件就可以绕过php后缀限制

ThinkPHP上传文件名暴破

查看thinkphp源码得知文件名是通过uniqid函数生成的，uniqid函数是基于以微秒计的当前时间计算的，两个同时上传生成的文件名相差不会太远