[ACTF2020 新生赛]Upload
[ACTF2020 新生赛]Upload
文件上传的题目
刚打开这个页面啥都没有,F12查看源码,看到了提示,发现触碰这个灯就会有上传文件的接口,上传
了一个 php 的文件,想着用 Burp 拦截修改的,结果它在选择文件要上传的时候就给了判断,所以,根
本来不及发送到 Burp 中
再查看一下源码看看咋回事(上上面一张图就有了源码)
POST 方式提交,submit提交就会执行 checkfile()函数,就不能先上传到Burp后判断吗?好歹让 Burp
也走个流程啊,。。。
与后台无瓜,就是前端过滤了,好吧,我还是把这个php 后缀改成jpg 格式吧,然后再在 Burp 修改
然后修改成 php 格式还是不行,额,还是和上面一题一样吧,改成 phtml 格式的,
嗯,蚁剑连接成功,虚拟终端,cat /flag,拿到 flag
好吧,以后不多想了,图片编辑器可能只运用于 DVWA,真正比赛没成功过一次,这个以后就不用试
了。
以后 文档格式除了 phtml ,PHP,Php,php3,php4,php5 ,php7,phps,pht都可以试一遍,都
是php 的拓展名。