Subí una Imagen… y el Servidor Fue MÍO

En este vídeo resolvemos un laboratorio de picoCTF donde una aplicación web de subida de imágenes valida los archivos de forma incorrecta. Aprovechamos una comprobación superficial del formato PNG para subir un archivo malicioso camuflado como imagen y conseguir ejecución remota de comandos en el servidor. Un ejemplo clásico de por qué validar solo la extensión o los primeros bytes de un archivo no es suficiente y cómo este tipo de errores terminan en una web completamente comprometida.