2025.1.20——三、[HarekazeCTF2019]Avatar Uploader 11 文件上传|finfo_file()函数|getimagesize()函数原理与绕过

题目来源：buuctf  [HarekazeCTF2019]Avatar Uploader 1 1

目录

一、打开靶机，整理信息

二、解题思路

step 1：找找可以文件上传的地方

step 2：结合源码，分析被过滤形式

step 3：上传符合要求图片

三、小结

---

一、打开靶机，整理信息

Avatar Uploader翻译过来就是头像上传器，看来是图片上传，排除SQL注入（输入框让人有SQL注入的冲动），下面的按钮为分别为主页和更换主题，以及登陆按钮

给了源码，待会儿看看

二、解题思路

step 1：找找可以文件上传的地方

        点进去发现只有登陆的输入框，按照格式先登陆进去，这里输入name=upload_1，进去之后，发现了上传文件的地方

        这里还限制了上传png后缀，大小要小于256kB，以及具体尺寸。看起来这里会有图片信息验证&#