[GXYCTF2019]BabyUpload - 文件上传+绕过(后缀&文件类型&文件内容&.htaccess)

[GXYCTF2019]BabyUpload

  • 解题流程

1

解题流程

1、上传一句话,提示“后缀不允许ph”
2、修改后缀为jpg,提示“上传类型也太露骨了吧!”
3、修改类型为image/jpeg,提示“诶,别蒙我啊,这标志明显还是php啊”
4、修改一句话的标识为:
  提示:/var/www/html/upload/1789acac5c7c2308dea99840cb37ebe1/yjh_putong.jpg succesfully uploaded!
5、上传.htaccess:AddType application/x-httpd-php .jpg
6、蚁剑连接,根目录找到flag即可
  url:http://2a2a1e20-d142-49f2-800e-447c5f1717be.node4.buuoj.cn:81/upload/1789acac5c7c2308dea99840cb37ebe1/yjh_putong.jpg
  密码:pwd

你可能感兴趣的:(CTF-WEB,web安全,安全,ctf,文件上传,waf绕过,htaccess)