BUUCTF
墨子辰
自学网络安全的菜鸡,愿我的文对你有一丝丝帮助。。。
展开
-
[GXYCTF2019]BabyUpload
考点:.htaccess文件上传<script language="pHp">@eval($_POST['a'])</script>上传类型,先上传一个图片类型的马子发现检测了上传内容,换个一句话(不带<?php的)<script language="pHp">@eval($_POST['a'])</script>发现可以成功上传,紧接着换成php 发现对文件名也有检测试试不存在的文件名,以此来判断是否白名单限制可以上传,以原创 2021-02-05 10:18:29 · 379 阅读 · 0 评论 -
BUUCTF [MRCTF2020]你传你呢
考点:.htaccess文件上传先上传一个正常图片,发现成功上传而且能够访问。直接一个1.sdga丢上去,看看返回包。发现可以成功上传。可能有人到这里就懵了,为什么要上传1.sdga,它是个神马文件类型????对,这里我上传了一个不存在的文件类型,这样可以方便我们一下判断出是白名单还是黑名单限制。这里既然能够上传一个不存在的文件名,那么说明这里是黑名单限制,so接下来就是黑名单上传的招式咯。 看好了 别眨眼·~~~No.1:上传 .htaccessNo.2:上传 .user.ini原创 2021-02-04 11:25:35 · 678 阅读 · 0 评论