[BT]BUUCTF刷题第4天（3.22），BUUCTF刷题日志，第4天挑战（3.22）

摘要：今天是BUUCTF刷题的第4天（3.22），继续深入学习和实践网络安全技术。通过不断刷题，提高自己的安全技能水平，加强对于网络安全攻防的了解和实践操作。这一天充满了挑战和收获，不仅巩固了之前学过的知识，还学到了新的技巧和方法。继续努力，不断提升自己的技能水平，为网络安全领域做出更多贡献。

第4天挑战题解析（共3题）

Web领域挑战

[极客大挑战 2019]Upload

这是一道关于文件上传的题目，尝试直接上传带有木马的php文件，但发现被系统拦截，尝试修改文件的MIME类型，虽然有些效果，但系统仍然能够识别出这是php文件，使用文件后缀名绕过策略，这道题解一般使用phtml后缀，测试发现%00截断也可以，网站仍然能识别出这不是图片，考虑添加图片文件头来绕过检测，其他题解使用的是GIF89a，而此处选择在png文件中添加一句话木马，成功上传文件，并利用工具连接到网站的upload目录，获取flag。

[ACTF2020 新生赛]Upload

这道题与上一题类似，首先上传普通png文件，然后使用BP抓包工具在上传内容中插入特定代码，修改文件后缀名为.phtml后，得到文件上传的目录，利用工具连接并获取flag。

[MRCTF2020]你传你🐎呢

这道题需要上传并覆盖.htaccess文件，首先上传包含特定设置的.htaccess文件，然后通过修改Content-Type来绕过检测，上传成功后，再上传带有木马的png文件（不修改后缀名），访问图片木马后，利用工具找到并获取flag。

每一道题目都有详细的解题步骤和图解，以帮助理解和操作，通过这些挑战，可以加深对Web安全领域文件上传漏洞的理解和实践能力。