[极客大挑战 2019]Upload
从页面上来看是上传一个图片文件,但是不知道是怎样检查的,要先试一试
一般可以检查的地方有:
后缀名、content-type、文件头的部分内容
先上传一个php,不做任何修改
接下来试一下phtml+修改content-type
phtml一般是指嵌入了php代码的html文件,但是同样也会作为php解析
也许文件头也检查了,那就加上GIF89a
测试出来大概就是,后缀名可以是phtml,会检查content-type,文件头的部分,以及<?
所以最后的木马:
在bp里做修改
上传成功
猜测上传后的文件在upload/2-3.phtml,找到以后打开
没有显示出php的部分,说明成功执行了,用蚁剑连上,找到flag
