[极客大挑战 2019]Upload
打开靶场
显然这是一道文件上传的题
直接尝试上传一句话木马文件
明显做了验证,尝试上传图片马
对图片马中的内容做了验证
尝试对一句话密码进行base64加密后上传
看来作者对图片进行了校验
然后尝试修改修改后缀和mime类型进行绕过
可惜又进行了验证
换一种后缀
.phtml文件好像可以上传,但是对文件内容做了校验,不允许出现<?,尝试更换一句话木马
对文件是否是图片进行了校验,那么就需要在木马中加上GIF89a进行图片文件欺骗
GIF89a图片头文件欺骗
最终shell文件:
然后抓包进行修改
终于上传成功
由于没有回显,猜测文件在upload目录下,尝试访问
果然在这里
直接上蚁剑
中间出了一点问题。蚁剑的代理忘关了,一直连不上,查了半天才想起来。。。。。
连接成功
在根目录下找到flag