「CTF優勝への道」企画（picoCTF編）をお届けします！

■防衛省サイバーコンテストまであと4週間！
2026年1月8日〜10日の勉強の模様をお届けします！
前回から常設型のCTFである「picoCTF」を進めています！

今回も「Web」の問題を取り上げました！
本動画では、アップロード制限がされているWebアプリケーションを題材に、アップロード制限を回避してFLAGを取得するまでの流れを解説しています！

今回のWebアプリケーションでは、画像のみのアップロードが許可されており、PHPファイルをアップロードすると拒否されます。
ただし、.htaccessのアップロードは制限されていないため、画像ファイルであってもPHPとして実行させることができる脆弱性があります！
この脆弱性を悪用することで、任意のコマンドが実行可能なファイル（WebShell）を画像としてアップロードすることで、リモートから任意のコマンドを実行し、FLAG取得に成功しています！
※FLAGはCTFのお作法に従い、picoCTF以降をモザイクにしています

ハッカーかずは果たして防衛省CTFで優勝できるのか！？
日々の勉強模様、最終結果、お見逃しなく！

参考：https://picoctf.org/

お仕事依頼などはこちら。
✉️[email protected]

セキュリティ講義申し込みはこちら。
🏫https://cyber-attack.jp/lecture/

メンタースクール申し込みはこちら。
🏫https://cyber-attack.jp/school/

その他SNSはこちら。
💻TikTok   / hackerkaz  
⌨️ブログ http://cyber-attack.jp/
💻Twitter   / cysecu_kaz  
⌨️Instagram   / cysecu_kaz  
💻質問箱 https://mond.how/ja/cysecu_Kaz

#CTF #web #アップロード制限 #.htaccess #PHP #WebShell #picoctf