这个题的fuzz思路挺好的也挺简单的。

简单的文件上传

这道题的思路挺好的,涨姿势了。

image
image

提示不能上传php文件,但是可以上传PHP,不过这里纯粹验证上传的文件名,然后

image
image

这里是路径,两者是直接连接的,然后可以

image
image

后面就是截断的问题了,不要老想着00截断,有的时候可能其他的截断,然后简单fuzz一下就OK,
使用脚本

1
2
3
4
file = open("fuzz.txt",'w')
for i in range(256):
file.write(chr(i)+'\n')
file.close()
image
image

然后这里Load一下刚才生成的fuzz.txt,就能fuzz出用什么可以截断。