「CTF優勝への道」企畫（picoCTF編）をお屆けします！

■防衞省サイバーコンテストまであと4週間！
2026年1月8日〜10日の勉強の模樣をお屆けします！
前回から常設型のCTFである「picoCTF」を進めています！

今回も「Web」の問題を取り上げました！
本動畫では、アップロード制限がされているWebアプリケーションを題材に、アップロード制限を回避してFLAGを取得するまでの流れを解説しています！

今回のWebアプリケーションでは、畫像のみのアップロードが許可されており、PHPファイルをアップロードすると拒否されます。
ただし、.htaccessのアップロードは制限されていないため、畫像ファイルであってもPHPとして實行させることができる脆弱性があります！
この脆弱性を惡用することで、任意のコマンドが實行可能なファイル（WebShell）を畫像としてアップロードすることで、リモートから任意のコマンドを實行し、FLAG取得に成功しています！
※FLAGはCTFのお作法に從い、picoCTF以降をモザイクにしています

ハッカーかずは果たして防衞省CTFで優勝できるのか！？
日々の勉強模樣、最終結果、お見逃しなく！

參考：https://picoctf.org/

お仕事依頼などはこちら。
✉️[email protected]

セキュリティ講義申し込みはこちら。
🏫https://cyber-attack.jp/lecture/

メンタースクール申し込みはこちら。
🏫https://cyber-attack.jp/school/

その他SNSはこちら。
💻TikTok   / hackerkaz  
⌨️ブログ http://cyber-attack.jp/
💻Twitter   / cysecu_kaz  
⌨️Instagram   / cysecu_kaz  
💻質問箱 https://mond.how/ja/cysecu_Kaz

#CTF #web #アップロード制限 #.htaccess #PHP #WebShell #picoctf