BUUCTF__[ACTF2020 新生赛]Upload_题解
前言
- 最近a股疯涨,基金买啥啥涨。所以跟风买了一点。
- 有意准备自己写一个机器人实现实时监控a股上证指数,并实现基金涨幅查询。
读题
-
这题也是文件上传的题目
-
和上次的 [极客大挑战 2019]Upload 一样的知识点,感觉还更简单。
-
f12可以看到前端验证了文件后缀名。
-
抓包修改文件名,当文件名为php时提示报错。
-
修改文件名为
.phtml,上传成功,并且返回了文件路径。 -
尝试访问发现有回显,显示123,说明php解析成功。
-
直接蚁剑连接运行虚拟终端执行
cat /flag。成功得到flag。