[CTF2020 新生赛] Upload 1

关卡: WEB - [CTF2020 新生赛]Upload 1

过程这里不做过多演示了，简单的说一下。

前端有针对上传文件类型进行 JS 过滤校验，未作文件内容过两次。上传一个图片马，通过抓包的方式，修改文件后缀为 “.phtml” 或者 上传一张正常的图片，将一句话写进文件内容即可绕过。

---

---

前台访问图片地址,通过POST提交 phpinfo();

---

---

利用蚁剑连接后门，发现flag。

---

---