[WUSTCTF2020]CV Maker——简单的开始

[WUSTCTF2020]CV Maker

一.前言

emm，有关ssrf的题目在这期间做了几道，大部分都是关于redis和fpm的，这些题目中大多数都是直接用现成已经在市面上广为流行的脚本进行攻击的。事实上，并没有过多的参考价值，也就没有写下他们的wp。最近在复习数学，也没有时间打靶场了，拿这道最简单不过的文件上传题目，来开文件上传的坑吧。不知道什么时候能把坑填完。

二.正文

首先，我们拿到这个题目。（这道题的前端不错

首页就是一个注册的界面，也没有什么东西于是就注册一个账号登进去先看看
ps：这里要说一下，就是我在注册完这个账号的时候，这个注册页面首页上会报一些关于MySQL的错误，不知道是不是环境的问题。但不影响做题。
登陆进去之后，界面如下

很明显，题目就是要让我们进行文件上传。
我们先写一个最简单的一句话木马进行上传操作。

我们看到题目给我们返回了一个exif_imagetype not image的错误，所以我们在这里加上一个图片头来绕过这个点。

这次上传之后我们看到前端页面已经不报错了，所以我们来获取这个文件的位置
我们直接在新页面中打开这个图片，来截取其中的请求包，得到文件的位置。

然后用蚁剑进行连接