目录

题目场景

查看源码

官方WriteUp

BP抓包

F12查看文件去向

蚁剑连接

找到flag

题目场景

查看源码

毫无有效的数据

官方WriteUp

本题需要利用文件上传漏洞点，通过绕过服务器的安全防护，达到getshell的目的

本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行

这里需要绕过的点如下

检查文件内容是否有PHP字符串检查后缀中是否有htaccess或ph检查文件头部信息文件MIME类型

对于第一点可以利用短标签绕过，例如

对于第二点可以通过上传.user.ini以及正常jpg文件来进行getshell,可以参考以下文章

https://wooyun.js.org/drops/user.ini文件构成的PHP后门.html

在服务器中，只要是运用了fastcgi的服务器就能够利用该方式getshell，不论是apache或者ngnix或是其他服务器。
这个文件是php.ini的补充文件，当网页访问的时候就会自动查看当前目录下是否有.user.ini，然后将其补充进php.ini，并作为cgi的启动项。
其中很多功能设置了只能php.ini配置，但是还是有一些危险的功能可以被我们控制，比如auto_prepend_file。

第三点绕过方式即在文件头部添加一个图片的文件头，比如GIF89a

第四点绕过方法即修改上传时的Content-Type

因此最终的payload为：
上传.user.ini，内容为

GIF89a                  auto_prepend_file=a.jpg

上传a.jpg，内容为

GIF89a

BP抓包

上传.user.ini

再上传a.jpg

F12查看文件去向

蚁剑连接

打开flag查看

找到flag

cyberpeace{85f32dea0ed6b7be27fa02c28a97228f}

来源地址：https://blog.csdn.net/lyshark_lyshark/article/details/126799170