[SUCTF2019]CheckInStep发现上传文件试验后，Yourdiruploads/40faad96d40fbac7603474024cbb933aYourfiles:array(5){[0]=>string(1)"."[1]=>string(2)".."[2]=>string(9)".user.ini"[3]=>string(5)"1.jpg"

文件上传[SUCTF2019]CheckIn打开提交js图片马后台检测文件类型在木马出添加GIF89a绕过显示上传成功的地址uploads/f65a0ca982c669865231909b0ec85a0c上传.user.ini解马关于.user.ini和.htaccess后者有局限性，只能用于apache前者只要能运行php都可用auto_prepend_file

既然是母校，那一定要好好对待~    2024-01-1322:42:34WEB [HUBUCTF2022新生赛]checkin题目链接：checkin原题<?phpshow_source(__FILE__);$username="this_is_secret";$password="this_is_not_known_to_you";include("flag.php");//hereI

有上传文件的按钮，猜测是上传漏洞上传php不行，.php3，.php5，.phtml等都不行改成jpg，检测到了内容<?不通过，那就再换一种方式<scriptlanguage='php'>assert($_REQUEST['cmd'])</script>检测到文件不是图像，很明显是用exif_imagetype()函数，函数功能是读取一个图像的第一个字节并检

题目给出了源码，如下。<!DOCTYPEhtml><htmllang="en"><head><metacharset="UTF-8"><metaname="viewport"content="width=device-width,initial-scale=1.0"><metahttp-equiv="

  首先打开文件 可以立即想到先用base64解码出 根据题目的提示ROT，找到rot解码，然后观察可以看出利用rot47进行解码就可得到flag

[SUCTF2019]CheckIn1知识点：.user.ini.htaccess//知识点统细讲放到最后，建议学习一下连接里面的内容文件上传内容检测一句话木马rce命令执行、蚁

概述时间：August92022测试发现不可以上传以.ph开头的后缀名文件。于是想到上传.htaccess文件+上传图片马的方式执行webshell，结果并没有成功。为啥失败了呢？原来题目环境