CTF文件上传漏洞例题总结
题目是NSSCTF上的“[SWPUCTF 2021 新生赛]easyupload1.0”
解题思路:
1.打开题目靶机环境:
2.老套路,上传一句话木马,但是提示上传失败:
3.看看提示,upload1.jpg,于是将原有的🐎后缀名改为.jpg,提示上传成功并给出文件路径:
4.随后,用bp抓包,放入Repeater,并将文件名修改为.phtml:
5.最后,根据文件路径访问/upload/test.phtml,Ctrl+F搜索flag即可(这里则是NSSCTF):
总结:
这次试了才发现有点耗时…之前一直没敢做这种,感觉太复杂了~~
不过,这是个好的开始!