文件上传[SUCTF 2019]CheckIn
打开提交js图片马
后台检测文件类型
在木马出添加GIF89a绕过
显示上传成功的地址
uploads/f65a0ca982c669865231909b0ec85a0c
上传.user.ini解马
关于.user.ini和.htaccess
后者有局限性,只能用于apache
前者只要能运行php都可用
auto_prepend_file 指定一个文件,自动包含在要执行的文件前,类似于在文件前调用了require()函数
然后再次上马
.user.ini内容
使用蚁剑连接地址
这里要注意,连接地址在图片马路径下加上index.php
在根目录下找到flag
标签:SUCTF,文件,CheckIn,2019,ini,上传 From: https://www.cnblogs.com/yang-ace/p/18071342