比赛的时候犯了很蠢的错误,没有做出来,其实是挺简单的一道题。

题目环境已经关了,我当时也没有截图,所以只能纯文字叙述了。

点击题目地址进入一个网站页面,提示说要找到上传点,结合题目名字和提示,猜想是文件上传,于是就一通随便乱点,找上传点。于是发现题目中的网站有个传头像的地方,那大概就是这里了吧,然后我传了个真图片上去试试,显示上传成功,但要更努力才能拿到flag哦。(大概意思,原话记不清了)ok,就是这里无疑了。通过图片上传得到flag,应该就是要上传个图片马了。打开burp,我先传了个真的图片上去,然后把传完之后的包扔到repeater里去,在图片最后写了个一句话木马(会检查是否有<?),send,于是在response的Raw里可以看到Success 后面还有个file path,文件包含一波,拿到flag。

Categories:

Tags:

No responses yet

发表评论

电子邮件地址不会被公开。 必填项已用*标注

闽ICP备19027300号