[極客大挑戰 2019]Upload
從頁面上來看是上傳一個圖片文件,但是不知道是怎樣檢查的,要先試一試
一般可以檢查的地方有:
后綴名、content-type、文件頭的部分內容
先上傳一個php,不做任何修改
接下來試一下phtml+修改content-type
phtml一般是指嵌入了php代碼的html文件,但是同樣也會作為php解析
也許文件頭也檢查了,那就加上GIF89a
測試出來大概就是,后綴名可以是phtml,會檢查content-type,文件頭的部分,以及<?
所以最后的木馬:
在bp里做修改
上傳成功
猜測上傳后的文件在upload/2-3.phtml,找到以后打開
沒有顯示出php的部分,說明成功執行了,用蟻劍連上,找到flag
