web-upload

“百度杯” CTF比赛 九月场 Web-Upload

访问题目网址解题思路习惯性查看源码,无收获按要求上传一张Upload.png,显示上传成功,并且返回上传位置:u/Upload.png,可正常访问。上传php一句话木马,显示上传成功,访问发现显示@eval($_POST['cmd']);?>,测试发现过滤了@eval($_POST[cmd]);上传成功,菜刀连接,在根目录下看到flag.php,打开即可获得flag。不想通过菜刀连接也可以通过构造
xnudhi·2020-08-26 07:27

i春秋Web-Upload(第一届“百度杯”信息安全攻防总决赛 线上选拔赛)

查看源码:告诉我们要上传一个ichunqiu的参数,但是貌似并没有找所谓的find,bp抓包看到响应中有flag的响应头:但是解码之后上传得到的还是没上传一样的情况,响应头中的flag的内容改变了,网页也告诉我们beafastman,所以就要写脚本了:importrequestsimportbase64url='http://dc587a4fbff74976b22f2bd18ec43caecfed
N0Sun諾笙·2020-08-17 18:36

“百度杯”CTF比赛 九月场——Web-Upload

=============================个人收获:1.PHP标记的不同写法2.PHP标记被过滤可以试试大小写==============================不知道为什么写这篇文章的时候CSDN的服务器出现问题一直无法上传图片,索性就不传了,因为这题挺简单的。题目开始是说让我们随便上传文件,那么我们找个一句话直接上传然后会出现上传成功!我点下那个文字就能调转到我们上传的
大方子·2018-08-06 15:25
上一页 1 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他