啟動靶機,發現有前端驗證
先繞過前端驗證,在burp中嘗試發現驗證在檔名字尾,且會重新命名檔名
發現.ini能上傳但是會被重新命名,既然不像前端顯示只有三種格式能上傳,這裡我們尋找能繞過的字尾
嘗試發現phtml能上傳成功
//PHTML 副檔名是 PHP 的一個模組,它允許在 HTML 檔案中使用 PHP 程式碼,並且可以將 PHP 程式碼和 HTML 程式碼合併到一個檔案中。
寫入後門程式碼也不會被過濾
cmd=system('ls ../../../../');查詢到flag位置
最後讀取flag
cmd=system('cat ../../../../flag');
flag{df69440c-0327-4e56-86a2-73c94bc24d5d}