码迷,mamicode.com
首页 > 系统相关 > 详细

bugku 求getshell

时间:2019-10-19 11:23:35      阅读:133      评论:0      收藏:0      [点我收藏+]

标签:shell   alt   image   一句话   mamicode   tip   成功   绕过   ipa   

技术图片

 

 看起来是个上传题,提示只能上传图片,这时候就需要拿出我们的一句话来了。

首先来试试水,上传一个一句话木马,使用burp抓包,修改content-type为image/jpeg

上传失败,可能是对文件进行了过滤,让我们来绕过试一下

技术图片

 

试了很多招数都不行,只能看下大佬们的wp

原来这个题是对文件类型进行了两次判断

技术图片

 

 multipart/form-data : 需要在表单中进行文件上传时,就需要使用该格式,意思是他通过表单会对文件格式再进行一次判断,并会在后端进行判断,而且他好像只支持小写字符,所以我们通过对请求头中的Content-Type进行大小写绕过,将multipart/form-data随便大写一个字母就可以了,然后我也成功找到了未被过滤的后缀,是php5,修改之后提交成功得到flag

技术图片

 

bugku 求getshell

标签:shell   alt   image   一句话   mamicode   tip   成功   绕过   ipa   

原文地址:https://www.cnblogs.com/lzlzzzzzz/p/11703178.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!