极客大挑战2019
先上传一个php文件试试水
发现不行 前端过滤了非图片格式文件
抓包改一下
发现不能是php文件 把文件后缀改成jpg形式 发现有后端过滤文件中不能包含<?
那就换一种 用script标签当前缀
发现还是不行 可能是校验文件头 加一个文件头GIF89a 发现上传成功
这里之所以用phtml文件 是因为phtml文件可以被解析 图片马虽然有上传路径但是无法链接成功
用蚁剑连接成功 在根目录找到flag
[ACTF2020 新生赛]Upload
上传php文件 发现不可以 并给显示 只可以上传jpg、png、gif结尾的图片
这道题只要上传的不是jpg、png、gif结尾的图片都抓不了包 怀疑用了前端验证
果然 用了js前端验证 关掉之后试着上传php php3 php5 phtml文件 发现phtml文件可以上传成功
用蚁剑链接 在根目录找到flag