[ACTF2020 新生赛]Upload
[ACTF2020 新生赛]Upload
考点
文件上传phtml解析
wp
传一个php测试一下
删除check再上传
说明还存在过滤,可能是对文件内容或是文件头的过滤。继续上传PHP文件
换一下后缀试一下,换成phtml
访问成功解析,再传shell即可。
小结
最后总结一下CTF文件上传题中常用的php拓展名:
最后更新于
文件上传phtml解析
传一个php测试一下
删除check再上传
说明还存在过滤,可能是对文件内容或是文件头的过滤。继续上传PHP文件
换一下后缀试一下,换成phtml
访问成功解析,再传shell即可。
最后总结一下CTF文件上传题中常用的php拓展名:
最后更新于
GIF89a
<script language='php'>phpinfo();</script>利用中间件解析漏洞绕过检查,实战常用
上传.user.ini或.htaccess将合法拓展名文件当作php文件解析
%00截断绕过
php3文件
php4文件
php5文件
php7文件
phtml文件
phps文件
pht文件