zoukankan      html  css  js  c++  java
  • [极客大挑战 2019]Upload GIF图片马欺骗等

    1.  网站title为上传头像,界面为一个上传框

    2.  尝试上传最基本的木马,提示非图片,这是第一个需要绕过的点。

     

    3.  首先尝试单纯更改木马后缀,提示内容中有<?,意思是不能用php的语言声明。

     4.  尝试小小更改绕过<?的检测

    将后缀改为.jpg尝试上传,还是不行,看来除了对文件后缀名的和内容的检测,还有对文件格式的检测。

    5.  利用GIF欺骗,在木马前加入GIF89a,并为了上传后的文件有用,将文件后缀改为phtml

    phtml为php别名,若是后端过滤为php黑名单,则可以绕过过滤。

    上传时抓包更改提交文件类型为image/jpeg

     成功上传马

     

    6.  没有具体的文件路径,猜测有/upload文件夹

     

     看样子成功连上马了,找flag

    这里我用了find命令,但是耗时较久,而且找出来了一大堆,乍眼一看没有找到有用信息。

    试试回根目录看看,找到了flag

    cd /;cat flag

  • 相关阅读:
    Java attack
    Java attack
    Java attack
    Java attack
    Java attack
    Java attack -Java 中的集合
    Java attack
    迟到的《Cashflow》游戏感悟
    三读《富爸爸穷爸爸》
    安装vue开发环境→安装淘宝镜像的时候报错
  • 原文地址:https://www.cnblogs.com/cmredkulaa/p/14514820.html
Copyright © 2011-2022 走看看