文件上传 [ACTF2020 新生赛]Upload1

打开题目，发现是一道文件上传题目

随便上传个一句话木马上去

发现网站前端有白名单限制，只能上传含有jpg，png，gif的后缀文件

最开始我想到的做法是先上传htaccess文件，bp修改文件头，上传成功后然后再上传以jpg为文件后缀的一句话木马

上传htaccess文件的时候，因为有前端校验，我们把前端校验删了以后发现能够成功上传htaccess文件，但是接着上传jpg格式的一句话木马时却连不上

得到flag

知识点

• 什么是前端验证，后端验证 ？

前后台校验，就是前台和后台都需要对某一数据进行合法性校验。根据数据的来源，又可将场景分为用户输入数据校验、服务器生成数据校验和文件上传校验三种子场景

• 需要验证的场景有哪些 ？

例，用户注册。用户需要填写一个表单，输入诸如用户名、密码、邮箱、公司等信息，点击提交，完成注册。
其中，这个表单需要验证，可能的验证规则有：

• 用户名不能有特殊字符，如%￥#@&
• 邮箱必须符合正确的邮箱格式，如[email protected]
• 用户名不能重复
• 密码必须包含数字、小写字母、大写字母、特殊字符，且长度不能少于8位

• 什么是phtml文件

.phtml文件告诉网络服务器，这些文件是由服务器生成的带有动态内容的html文件，就像浏览器中的.php文件表现一样

因此，在生产用途中，.phtml和.php文件应该没有任何区别。