[极客大挑战 2019]Upload 1

http://0242d85f-3971-43f6-a721-0b736d192915.node4.buuoj.cn:81/
[极客大挑战 2019]Upload 1_第1张图片

解题过程

1.先上传个shell.php
[极客大挑战 2019]Upload 1_第2张图片2.提示Not image不是图片,可能是MIME绕过,尝试抓包修改Content-Type
[极客大挑战 2019]Upload 1_第3张图片3.提示Not php,猜测可能是检测后缀名不能是php,将shell.php改名为shell.phtml进行上传
[极客大挑战 2019]Upload 1_第4张图片4.根据上传提示,不能有 [极客大挑战 2019]Upload 1_第5张图片5.这次直接提示我们不是一个图片,检查了我们的文件内容,在文件头中加入GIF89,尝试绕过图片检测
[极客大挑战 2019]Upload 1_第6张图片6.可以看到文件上传成功,那么文件上传到了哪里呢?一般默认就是upload目录,有些可以在源代码中看到上传地址,访问上传的木马
[极客大挑战 2019]Upload 1_第7张图片
7.查看源代码可以看到,木马已经被当做php执行,直接使用蚁剑连接木马
[极客大挑战 2019]Upload 1_第8张图片
[极客大挑战 2019]Upload 1_第9张图片

你可能感兴趣的:(WEB安全入门,web安全)