[GXYCTF2019]BabyUpload(典型图片马基础绕过流程)

前言

文章所涉及的资料来自互联网整理和个人总结，意在于个人学习和经验汇总，如有什么地方侵权，请联系本人删除，谢谢！本文仅用于学习与交流，不得用于非法用途！

[GXYCTF2019]BabyUpload

这题坑了我一小会，我就在想这都能坑到我，真的是太年轻了(`-д-；)ゞ

试了一下gif，jpg用不了，png是可以用的
上传php提示不能上传后缀名带ph的文件

再测试上传.htaccess文件

发现改type为image/jpeg能上传成功
到这里不难猜出是图片马getshell了

拿蚁剑连马拿flag

小总结

1.试jpg的时候发现能直接上传，但是连马的时候发现用不了，多半是不支持的了
2.上传png的时候发现上传不上去，以为是没用了，看别人大佬的wp发现改image/png为image/jpeg就能上传这也太…(是我年轻了)
3.后面试了一下，内容加不加GIF89a?都可以利用马，应该是没头检测
4.上传图片马内容是用<script language="php">是为了绕过检测<?
5.总的来说题目叫BabyUpload是显而易见，的确越简单的东西越能看出基础深浅，年轻*3