[GXYCTF2019]BabyUpload 1 文件上传

满月*

于 2021-07-22 15:13:41 发布

阅读量2k

点赞数 2

CC 4.0 BY-SA版权

分类专栏：网络安全

本文链接：https://blog.csdn.net/weixin_45577185/article/details/118996730

博客讲述了在GXYCTF2019挑战中，如何通过更改文件扩展名为.htaccess来绕过png文件上传限制，尝试上传一句话木马。虽然直接上传失败，但通过不同方式最终成功上传并使用蚁剑连接，从根目录找到flag。文章还补充了两种.htaccess的利用方法。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

源码：

<?php
session_start();
echo "<meta http-equiv=\"Content-Type\" content=\"textml; charset=utf-8\" /> 
<title>Upload</title>
<form action=\"\" method=\"post\" enctype=\"multipart/form-data\">
上传文件<input type=\"file\" name=\"uploaded\" />
<input type=\"submit\" name=\"submit\" value=\"上传\" />
</form>";
error_reporting(0);
if(!isset($_SESSION['user'])){
   
    $_SESSION['user'] = md5((string)time() . (string)rand(100, 1000));
}
if(isset($_FILES['uploaded'])) {
   
    $target_path  = getcwd