2025.1.20——二、buuctf BUU UPLOAD COURSE 1 1 文件上传
题目来源:buuctf BUU UPLOAD COURSE 1 1
目录
一、打开靶机,查看信息
二、解题思路
step 1:上传一句话木马.php文件康康回显
step 2:蚁剑连接
三、小结
一、打开靶机,查看信息
这里提示到了文件会被上传到./uploads,有路径,题目也说了upload,所以是文件上传漏洞。好简洁的题目,做过十七关upload-labs的我,强的可怕。
二、解题思路
step 1:上传一句话木马.php文件康康回显
哦哟,一次成功,有路径,带URLpayload,上蚁剑!
step 2:蚁剑连接
一次成功!
在根目录找到flag信息
三、小结
1.很经典,很简单的文件上传,甚至没有过滤
2.不过这里会将上传的文件后缀修改,我上传的.php文件,但是文件显示储存为.jpg文件,而且文件名改了,猜测后端有二次命名的代码