SUctf checkIn

最新推荐文章于 2024-06-08 16:45:19 发布
原创 最新推荐文章于 2024-06-08 16:45:19 发布 · 677 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#suctf #checkIn

这篇博客讲述了如何利用.user.ini文件在PHP环境中构造后门。通过分析PHP的配置模式,特别是PHP_INI_PERDIR和PHP_INI_USER,作者展示了如何在限制上传的环境中通过添加文件头绕过检查,并利用auto_append_file和auto_prepend_file配置在执行index.php前插入恶意代码,最终获取flag。
看了道上传的关于.user.ini的题目,这里试着做一下

题目地址
buuctf checkln
打开题目,出现了简单的上传框

试着上传php文件

更改名称为phps,php3,php4,php5,Php,pphphp,都上传失败.

试试改为jpg
在这里插入图片描
发现它对<?内容进行了检验。
我们可以构造这种形式的木马

<script language="php">
	@eval($_POST['a
最低0.47元/天 解锁文章
[SUCTF 2019]CheckIn
m0_62092622的博客
04-13 1989
这道题是文件上传的题,先上传了一个PHP文件提示不合法的后缀 然后上传了一个.htaccess文件,提示exif_imagetype:not image! exif_imagetype() 读取一个图像的第一个字节并检查其签名,返回内容有16个,根据返回的值,来判断我们图片类型是什么 所以我们可以用GIF89a来绕过这个函数的检查 另外还要了解一个东西.user.ini,可以参考.user.ini文件构成的PHP后门 - phith0n .user.ini实际上就是一个可以由用户“自
BUUCTF——[SUCTF 2019]CheckIn 1
小白一枚多多关注的博客
04-12 1649
这道题应为我的理论限制,所以做了段时间才做出来,这道题它有两个知识前提,第一个就是.user.ini和图片文件头欺骗,这两点在这里有着举足轻重得作用,可以说不了解这两点就大概率得做不出这道题,前置知识点我也没咋理解好,但是这里有一篇写得不错得文章推荐给你门看看: .user.ini得作用以及配置 图片文件头欺骗 前置知识点知道后,那就开始进入环境并且解体了 进入环境后我们会看见一个文件上传得网页,当我一看到这个网页得时候我的第一想法就是文件上传漏洞,当然最后的实验结果也确实是这个漏洞,不过它这里用了一个p
[GKCTF 2021]Checkin
A13837377363的博客
04-11 1177
首先肯定要泄露基址,但是s1第一个0x8是'admin\x00\x00\x00',所以可用的实际只有0x18。第二次读入输入'admin\x00\x00\x00'*3+one_gadget+(buf)就可以了。s1和buf都以‘admin\x00'开头就可以了,buf最多只能覆盖rbp,此函数执行完之后就是。此题我本来使用的是之前一题的libc.so.6,一直打不通,后来用了题目提供的才成功。这个0x4018B5就刚刚好,能直接执行puts,再重新执行一遍读入的函数。s1能写一些exp,一眼迁移到s1。
SUCTF CheckIn
weixin_45751765的博客
08-20 330
0x00前言 a.关于图片马 图片马成功getshell的前提是靶标存在文件包含漏洞,而不是说直接说上传图片马(eg:1.jpg)就行了。你要让它能被服务端解析。 b.关于.user.ini 原文说的非常详细 https://wooyun.js.org/drops/user.ini%E6%96%87%E4%BB%B6%E6%9E%84%E6%88%90%E7%9A%84PHP%E5%90%8E%E9%97%A8.html ...
SUCTF_Checkin
When you collect everything, you understand nothing.
10-25 763
测试后一共有三种回显结果: <? in contents!表示 <?不能连续出现在文件中 illegal suffix!表示 不能上传后缀为php、php4、php5、phtml等可直接被解析的PHP文件 exif_imagetype:not image表示判断一个图片的类型(即读取一个图像的第一个字节并检查其签名) 解题思路 先上传一个.user.ini文件,.user.ini...
BUUCTF_[SUCTF 2019]CheckIn
TenG的博客
05-22 1401
前言 问君能有几多愁?恰似一江春水向东流 先扯些题外话,这个题目是在BUUCTF刷到的,本来以为就是普通的文件上传,但是看了其他师傅的文章以后发现了新姿势,这次利用到的知识点也刷新了我对文件上传类题目的认知,所以特此记录一下。本文也参考了这位大师傅的文章,然后再结合我自己的理解记录下来,当然我的理解还不够透彻,所以还请各位师傅多多指教。 正文 先来看下题目页面 可以看到这就是普通的文件上传页面,开始呢我也是用的以前的常规方法去试的,什么修改MIME类型、图片合成马、00截断啊都试了,但是没有一个能用的。
BUUCTF [web专项28][SUCTF 2019]CheckIn
yanglinchiji的博客
11-06 224
想到前面做过一道上传题,上传图片后用.htaccess文件修改上传目录的指定文件后缀。到底还是没有理解出来个所以然,应该是后台检测到该后缀自动删除之类的?成功后修改一下1.jpg再次上传(命令输出flag)看了别人的,发现别人用.user.ini来操作。我也不晓得了,如果有大佬知道请教教我!发现错误,再次上传,但是修改类型。新建一个.htaccess文件。我们再上传一次图片获取上传目录。先把phtml后缀改为jpg。进入后发现是个上传文件的题。上传成功后,进入所给的目录。先上传phtml后缀试试。
[SUCTF 2019]CheckIn 1 学习笔记
weixin_45869407的博客
10-15 481
刚刚做到这道题的时候以为就只是一个简答的文件上传,结果发现自己上传的图片马被拦截了,发现不能有<?符合,然后改成,但最后不知道该怎么弄,无奈自己太菜,只能看大佬writeup(做题不是关键) ...
[SUCTF 2019]CheckIn1
m0_73673698的博客
06-08 341
利用上传的一句话进行GET传参cmd=var_dump(scandir('/'));看到upload页面猜测文件上传,随便传了一个txt,给提示not image!读取一个图像的第一个字节并检查其签名。用蚁剑连不上(orz)
[SUCTF 2019] CheckIn 1
feng的博客
10-22 1309
知识点 上传.user.ini文件,条件如下: (1)服务器脚本语言为PHP (2)对应目录下面有可执行的php文件 (3)服务器使用CGI/FastCGI模式 现在大部分网站都是用的fastcgi,这个东西我理解的是可以提供web服务器的一种api,而apache/nginx/iis这些服务器都会依靠这种api来运行 而在服务器以fastcgi启动运行的时候,.user.ini也是php的一种配置文件,众所周知php.ini是php的配置文件,它可以做到显示报错,导入扩展,文件解析,web站点路径等等设置
[SUCTF 2019]CheckIn 1
m0_51426816的博客
03-12 333
查看GitHub中的源码 <?php // error_reporting(0); $userdir = "uploads/" . md5($_SERVER["REMOTE_ADDR"]); if (!file_exists($userdir)) { mkdir($userdir, 0777, true); } file_put_contents($userdir . "/index.php", ""); if (isset($_POST["upload"])) { $tmp_name
[SUCTF 2019]CheckIn 1
qq_49422880的博客
06-12 227
文件上传漏洞 今天不讲题解,讲原理,碰到文件上传漏洞,其实已经做了很多的题目,但是发现对于其中的两个配置文件不是特别饿熟悉,特写此文学习记录。     .htaccess漏洞 可以让我们上传文件时可以通过修改服务器的配置文件,可以让服务器对我们上传的文件产生错误的解析,所以在上传文件的时候如果上传不成功,或则格式不正确,可以试试修改.htaccess文件,然后上传修改的方式。 <Directory /> Options FollowSymLinks AllowOverride A
[SUCTF 2019]CheckIn 1
最新发布
01-12
### SUCTF 2019 CheckIn 题目解析 #### 背景介绍 SUCTF 2019 的 `CheckIn` 是一道 Web 安全题目,主要考察参赛者对于文件上传漏洞的理解以及如何绕过后端的安全检测机制。 #### 文件上传安全检测 在该题目中,服务器使用了 `exif_imagetype()` 函数来验证上传文件是否为合法的图片格式。此函数通过读取文件头部信息中的特定签名来识别图像类型[^3]。然而,这种基于文件头的简单校验方式存在被攻击者利用的可能性。 #### 绕过方法 为了成功提交恶意脚本而不触发上述防护措施,可以采用如下策略: - **修改文件头**:在实际要执行的有效载荷之前附加一段符合目标图片格式标准的数据流。例如,在PHP代码前加入代表JPEG、GIF或PNG格式的魔数(Magic Number),使得即使内容并非真正的图形数据也能顺利通过检验。 具体操作可以在十六进制编辑工具如010Editor里完成,向待上传文件起始处写入相应类型的特征码: - 对于JPG文件应添加 `FF D8 FF E0 00 10 4A 46 49 46` - GIF则需插入字符串 `"GIF89a"` - PNG对应的是序列 `89 50 4E 47` 这样处理后的文件既满足表象上的合法性又暗藏可被执行的指令片段[^2]。 #### 实现过程 创建一个特制的小型Webshell作为测试样本,这里选用了一种常见的单行反序列化命令注入形式,并伪装成GIF图档的形式发送给远程主机。注意去除敏感字符以免引起不必要的过滤拦截。 ```php <?php @eval($_POST['messi']);?> ``` 将其转换为适合传输的状态——即前面提到过的带有虚假图片标识的部分,最终形成完整的payload之后再实施递交动作。一旦部署完毕即可借助客户端发起请求激活隐藏功能获取进一步控制权或者直接读取指定路径下的敏感资料比如 `/flag` 来完成挑战任务[^1]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值