文件上传:配置文件绕过

发表于2025-04-18|更新于2025-05-26|ctfshow web

|浏览量:

基本概念

`.htaccess`和`.user.ini`文件

两者均为服务区器配置文件。
可以利用.user.ini文件中的auto_prepend_file来指定以php方式解析的文件。

例题

以ctfshow154为例
该题首先使用之前的绕过方式，前端后端绕过都无法顺利将木马文件上传。

文章作者: Dedsec

文章链接: https://www.th-dedsec.top/2025/04/18/%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0-%E9%85%8D%E7%BD%AE%E6%96%87%E4%BB%B6%E7%BB%95%E8%BF%87/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Dedsec的博客！

相关推荐

初见文件上传:[极客大挑战 2019]Upload

初见文件上传:[极客大挑战 2019]...

文件上传:前端验证不可靠

前端验证指:javascript源码如ctfshow例题web151: .jcpztoeluffh{zoom: 50%;} 这里可以使用F12打开源码界面，发现如下代码: 12<button type="button" class="layui-btn" id="upload" lay-data="[url: 'upload.php', event: 'images', exts:'png']"> 这是一个经典的layui代码:语法以及特点如下: 1.基础结构: <button> 标签被 Layui 渲染为一个上传按钮。 class="layui-btn"：Layui 的按钮样式。 id="upload"：按钮的唯一标识符（可用于 JavaScript 操作）。 2.有关lay-data: 这是 Layui 上传组件的核心配置参数，格式为简化的...

文件上传疑点解析