Bugku——求getshell
2020-03-31 18:46
1386 查看
0x00 前言
这是bugkuctf的一道题,不过可以用来练习文件上传
PS
使用大小写Content-Type来绕过waf的检测
0x01 正文
首先上传了一个正常的png图片,发现改了名字,还有重写了后缀
试一下php后缀,发现失败
这里绕一下waf,修改一下Content-Type
这里说是waf采用了严格匹配,也就是说只会匹配multipart/form-data,如果是multipart/form-data;就会进行严格匹配。那么这里可以任意大写其中的一个字母,导致waf没有识别到是multipart/form-data;就会放松检查条件,修改之后发现已经可以上传成功了。
这里可以对后缀进行该写,通过php3,php4等的尝试,发现php5才算是成功
- 点赞
- 收藏
- 分享
- 文章举报
相关文章推荐
- BugKuCTF WEB web基础$_GET
- BugkuCTF web基础$_GET
- bugku web基础$_GET
- BugKuCTF(CTF-练习平台)——WEB-web基础$_GET
- BugkuCTF web——web2、web基础-$GET、web基础-$POST、web3、管理员系统、输入密码查看flag
- poi操作Excel 被bug坑了getLastRowNum,getPhysicalNumberOfRows,getPhysicalNumberOfCells,getLastCellNum
- Get the shell script dir
- 【漏洞复现】ThinkPHP5 5.x 远程命令执行(getshell)
- 密码学 BugKu easy_crypto
- PJBlog 3.2.9.518 getwebshell 漏洞
- Jboss remote getshell (JMXInvokerServlet) vc版
- [CTF] BugKuCTF 论剑题解
- Bugku ctf writeup--web篇-文件包含2
- BugkuCTF-Web-Writeup
- BUGkuCTF-flag在index里
- 'Invalid parameter not satisfying: URLString'网络请求的时候get使用特殊字符和汉字崩溃的恶心bug解决方法...
- shell基本命令[getconf/bc/stat/cut/sh -c/telnet ip 80/lsof ]
- BugKu MISC 部分题目Write_up(二)
- Bugku writeup 猫片(安恒)
- bug-tomcat插件的get请求乱码