[MRCTF2020]你傳你🐎呢之.htaccess
阿新 • • 發佈:2021-01-21
前言
最近,也是遇到了檔案上傳的檔案,自己搭的靶場都不能用,今天,在這裡又遇到了這個題。簡單總結下,內容來自網際網路,若有侵權,聯絡我。
.htaccess簡介
.htaccess檔案(分散式配置檔案),提供了針對目錄改變配置的方法, 就是在一個特定的檔案目錄中放置一個包含多個指令的檔案,以作用於此
目 錄及其子目錄。作為使用者,所能使用的命令受到限制。管理員可以通過Apache 的allowOverride指令來設定。httpd.conf檔案中設定
.htaccess的利用
將下面的內容寫入.htaccess
0x01
這裡時是要包含bbb的檔案,都會被當成php程式碼執行
<FilesMatch "bbb"> SetHandler application/x-httpd-php </FilesMatch>
0x02
這種方法時,後面的.png檔案能被當成php程式碼執行,如果想換成別的改副檔名就可以
AddType application/x-httpd-php .png
賽題詳解
這裡我們的思路是,將.htaccess檔案上傳時,抓包,然後改Content-Type的型別為 image/jpeg的形式上傳,當然這道題,image/png的
檔案型別也可以上傳,至於gif可不可以我沒有試,感覺應該可以。然後先上傳.htaccess檔案,然後上傳圖片