非常感谢赵师傅出的题(赵总nb),这里记录一下解题思路
题目给了源码,很熟悉的代码,和之前高校运维赛的ezpop对比一下
发现多了一步使文件名随机,并且比较了后缀并限制了后缀不能为php
高校运维赛的wp:https://250.ac.cn/2019/11/21/2019-EIS-WriteUp/#ezpop
一开始的想法是后缀绕过,然后去爆破文件名,但是经过尝试,失败
经过尝试可以跨目录,这样就可以不去爆破文件名,用.user.ini去自动加载一个jpg,然后包含shell
解题过程如下
首先传一个包含shell的图片
1 | $b = new B(); |
然后上传.user.ini
1 | $b = new B(); |
可以看到已经成功getshell
剩下的就是读flag了