1.pass11 白名单 get%00绕过
可以看出上传路径可控,截断有两个前提条件,php版本小于5.3.4,php.ini的配置中magic_quotes_gpc 为off
上传的文件后缀为jpg,而img_path,文件保存的路径是…/upload/1.php%00/15555.jpg,因为使用了%00,所以使jpg这个后缀失效,所以最后保存的文件名时php
抓包修改
访问成功
2.pass12 白名单 post%00绕过
抓包修改,%00需要解码
访问
3.pass13 白名单 文件包含配合文件头绕过,图片马
生成图片马
copy logo.jpg/b + shell.php/a shell.jpg
访问
4.pass-14 白名单 文件包含配合文件头绕过,图片马
生成图片马
copy logo.gif/b + shell.php/a shell.gif
访问
5.pass-15 白名单 文件包含配合文件头绕过,图片马
需要开启php_exit
生成图片马
copy logo.jpg/b + shell.php/a shell.jpg
访问