[SUCTF 2019]CheckIn1
文件上传类型
之前做的文件上传类型题,都只是看看是否有提示或者是否存在js前端检测,然后就直接开始做,盲目的上传不断尝试,耗费了大量的时间。
而应该抓住多种信息,信息收集很重要,先明白方法原理,先找时候有前端检测,而后查看该数据库时什么数据库,对症下药。然后在进行各种方法的尝试。
此次考察服务器配置文件绕过
Server: openresty nignx容器 user.ini配置文件,PHP配置文件也时php.ini
apache .htacess配置文件
php再www目录下寻找ini文件
例:
ini文件内容 GIF89a绕过头部内容,
auto_prepend_file=shell.jpg使当前目录php文件包含shell.jpgwen文件
GIF89a
auto_prepend_file=shell.jpg