De1CTF 2020
这次比赛,我们其实就打了一个上午和下午,最后82名,大一来说,还勉强吧。其他时间没去肝题,难顶。因为还比较菜,不如去学点力所能及的知识。
check in
知识点:
.htaccess 重写
图片马文件上传
.htaccess 的相关特性
黑名单如下:
perl|pyth|ph|auto|curl|base|>|rm|ruby|openssl|war|lua|msf|xter|telnet in contents!
要点, 利用
\
绕过黑名单<?= 绕过 <?php
方法一:利用\ 换行连接
方法二:利用.htaccess 开启cgi 执行bash命令
然后访问上传的.sh 文件即可。本机(Macos + 虚拟机Windows10)都无法复现成功。服务器500。听说要Linux 系统。
Last updated