[GXYCTF2019]BabyUpload(典型圖片馬基礎繞過流程)

前言

文章所涉及的資料來自互聯網整理和個人總結，意在於個人學習和經驗彙總，如有什麼地方侵權，請聯繫本人刪除，謝謝！本文僅用於學習與交流，不得用於非法用途！

[GXYCTF2019]BabyUpload

這題坑了我一小會，我就在想這都能坑到我，真的是太年輕了(`-д-；)ゞ

試了一下gif，jpg用不了，png是可以用的
上傳php提示不能上傳後綴名帶ph的文件

再測試上傳.htaccess文件

發現改type爲image/jpeg能上傳成功
到這裏不難猜出是圖片馬getshell了

拿蟻劍連馬拿flag

小總結

1.試jpg的時候發現能直接上傳，但是連馬的時候發現用不了，多半是不支持的了
2.上傳png的時候發現上傳不上去，以爲是沒用了，看別人大佬的wp發現改image/png爲image/jpeg就能上傳這也太…(是我年輕了)
3.後面試了一下，內容加不加GIF89a?都可以利用馬，應該是沒頭檢測
4.上傳圖片馬內容是用<script language="php">是爲了繞過檢測<?
5.總的來說題目叫BabyUpload是顯而易見，的確越簡單的東西越能看出基礎深淺，年輕*3