web:[ACTF2020 新生赛]Upload

题目

web:[ACTF2020 新生赛]Upload_第1张图片

点进页面,是一个文件上传,能联想到getshell

web:[ACTF2020 新生赛]Upload_第2张图片

先尝试随便上传一个文件试试

web:[ACTF2020 新生赛]Upload_第3张图片

显示上传的文件以jpg、png、gif结尾的图片

构造一句话木马,再将文件后缀改为jpg

显示上传成功,但是显示无法解析成功

web:[ACTF2020 新生赛]Upload_第4张图片

根据之前的上传文件之类的题目,这里使用bp抓包后改后缀名为phtml

web:[ACTF2020 新生赛]Upload_第5张图片

上传成功

web:[ACTF2020 新生赛]Upload_第6张图片

尝试一下能不能执行php代码

web:[ACTF2020 新生赛]Upload_第7张图片

成功执行phpinfo,使用蚁剑链接

web:[ACTF2020 新生赛]Upload_第8张图片

去根目录找flag

web:[ACTF2020 新生赛]Upload_第9张图片

web:[ACTF2020 新生赛]Upload_第10张图片

你可能感兴趣的:(BUUCTF-WEB,网络安全,web安全)