[ACTF2020 新生赛]Upload

[ACTF2020 新生赛]Upload

当鼠标移动至灯泡附近的时候，就会出现文件上传的按钮

上传一个一句话木马（）的php文件

发现有限制，bp抓包修改一下文件类型，结果抓不到上传时候的包，f12发现了checkFile()函数，前端白名单过滤

直接删去checkFile()函数

再次进行抓包，发现可以抓得到了，修改文件类型

返回了bad file，可能是文件类型不对，修改后缀为phtml

返回了我们上传的路径，蚁剑连接