目录
一、文件上传(前端拦截)
上传一句话木马抓包,改后缀为php,上传成功
连接蚁剑,成功,但我没找到flag。百度flag为sadfsadfsdadf。
二、文件上传(解析漏洞)
解析漏洞分为目录解析和文件解析
抓包不断尝试改大小写%00都不行,百度说汉字可以
汉字成方块了。。。。。。,可能是php版本不对。。
不过后来我再次尝试
百度找了其他国家的特殊字符,嘿嘿。搞定
这一关flag为sdfasdfgfddst
三、文件上传(畸形文件)
同样抓包上传
发现文件后缀没了
双写绕过
搞定。贴一下本关flag:vnghuytiuygui
四、文件上传(截断上传)
这一关跟解析漏洞一样,找其他国家的特殊字母。。。
贴一下本关flag:sadfhbvjyyiyukuyt
五、文件上传(htaccess)
这题有点懵,htaccess不能上传。。。。。。。。。
正常应该是先抓包上传改为.htaccess,内容为
会把所有的上传文件解析为php文件
SetHandler application/x-httpd-php
然后再上传一句话木马后缀为png、jpg什么的都行