bugku-web-文件上传
短信预约 -IT技能 免费直播动态提醒
题目没有太多的描述 简单明了
(它不想要PHP文件) 上传一个其他类型试试看
被拦截了
回想之前我们做过的题目 不可以上传 php文件 说明一共存在三个过滤
- 请求头部的 Content-Type
- 文件后缀
- 请求数据的Content-Type
开始抓包咯
原始数据包 下面我们开始改包
上传的文件可以为任意文件,内容也可以是任意的,内容也可以为空
请求头部的 Content-Type 内容 随便改个大写字母过滤掉 比如 mulTipart/form-data
所上传的文件后缀 改为 .php4(依次尝试php4,phtml,phtm,phps,php5(包括一些字母改变大小写))
请求数据的Content-Type 内容改为 image/jpeg
顺便在包中加入一句话代码 ()
上传成功
使用蚁剑进行连接
找到flag
来源地址:https://blog.csdn.net/m0_57954651/article/details/127652270
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
