攻防世界进阶upload

攻防世界upload进阶注入解题过程
最新推荐文章于 2025-02-07 05:27:47 发布
原创 最新推荐文章于 2025-02-07 05:27:47 发布 · 5.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#攻防世界 #upload #web进阶

本文详细介绍了在攻防世界平台中一个关于upload的进阶挑战,涉及文件名注入漏洞。通过绕过过滤,使用CONV、substr、hex等函数获取数据库信息,最终揭示了flag所在的表名和列名,从而完成挑战。

攻防世界进阶upload


注册登陆后,发现上传页面

试着上传一个文件3.php:
内容如下:

<?php eval(@$_POST['a']); ?>


我们试着将它改个名字抓包,并且改为jpg,措辞测试发现只有jog能够传上去

虽然上传成功,但是并不能显示出文件名的位置,蚁剑连接失败
看到回显名称有uid号,无奈的丝毫没有头绪
只好看了大佬的博客,竟然是注入,文件名称注入
当输入文件名为注入语句时,发现并没有反应,出现上传成功,但是并没有回显,可能存在过滤
尝试多次发现过滤的时select和from,所以利用selselectect和frfromom进行绕过
首先,用注入得到表名称

s'+(selselectect CONV(substr(hex(dAtaBase()),1,12),16,10))+'.jpg

最低0.47元/天 解锁文章
攻防世界-upload
qq_44065556的博客
09-24 1341
进入场景映入眼帘 需要注册账号 注册好之后,登录跳转页面 突破点应该就在这里了 我们先上传一个php文件 显示不正确的文件扩展名,被拦了 用burp抓包改信息 成功上传 但是没有上传路径 只能上传不能利用 思考(题目给的是upload,给的引导思路 就是上传文件拿flag) 我试着上传jpg,png格式的图片文件 有文件名回显,这说明文件已经被传到了数据库中,游览器又从数据库中读取了上传的文件,那么这个过程久有可能触发sql注入 ...
攻防世界web进阶upload
gongjingege的博客
08-15 600
这道题头都被打烂了。。。 题目为upload,第一反应文件上传,一句话菜刀就行了,结果,结果是注入。。。 (思维还是不灵活,脑洞还是不够大) 打开题目,先注册,这里没有注入 登录然后进入上传界面 写个一句话木马,上传 试了好几个,php,txt,都是文件扩展不对,只有jpg可以,应该是白名单过滤 同时界面将文件名回显 推测,将文件存入了数据库,显示文件名,当你输入查询数据库的语句时,是不是可以读取数据库 那么,结合大佬的wp,将文件名构造成sql查询语句(这个思路骚气。。。) 试着构造的时候,发现sel
攻防世界-web-ctf-upload
m0_52484587的博客
08-09 511
这个文件是php.ini的补充文件,当网页访问的时候就会自动查看当前目录下是否有.user.ini,然后将其补充进php.ini,并作为cgi的启动项。其中很多功能设置了只能php.ini配置,但是还是有一些危险的功能可以被我们控制,比如auto_prepend_file。本题需要利用文件上传漏洞点,通过绕过服务器的安全防护,达到getshell的目的。本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行。上传.user.ini,内容为。上传.user.ini。这里需要绕过的点如下。
攻防世界-web-upload
wuh2333的博客
12-13 1955
攻防世界webupload,sql注入
攻防世界web进阶upload1
0pt1mus
03-13 950
转自个人博客0pt1mus 打开网站,可以发现只存在一个选择文件框和一个上传按钮。 我们可以考虑直接上传一个一句话木马尝试。 <?php @eval($_POST['shell']);?> 快速弹出警告框,让上传图片文件。猜测是前端js判断。 F12打开控制台,成功发现js代码,右击直接删掉。 重新选择一句话木马,此时发现上传按钮无法点击,在F12的console中将按钮的di...
攻防世界web进阶upload详解
hxhxhxhxx的博客
08-13 2732
攻防世界web进阶upload详解题目②CONV(N,from_base,to_base)③substr(string,start,length) 题目 进入页面是我们的注册 登录以后,发现可以文件上传 传完之后发现有回显,猜测可能是文件名注入 我们先进行一系列得上传测试,发现都不行 这时候,御剑发来了好消息, 这儿有一个include,classes的文件 我们使用burp康康有哪些过滤 发现被制为了空,我们猜一猜是双写绕过 下面解除文件名字注入 1.把文件名改成 a' +(selsele
攻防世界web进阶 upload-wp
freerats的博客
07-14 310
打开容器,发现文件上传处 经过测试,只有jpg格式文件可传。png,.htaccess ,phtml等都无法上传 当各种方法都尝试过后还是没一点思路。参考他人wp才得知是文件名注入。(心里只有一句mmp) 上传回显只有文件名,因此大概率存储进数据库的也是文件名,那么当你上传文件时,就会与数据库发生交互,可能产生sql注入。 尝试注入,提交 发现根本无回显,那肯定是出现了问题,说明注入的确是存在的 select database()时发现select被过滤,这里用双写就可以绕过,同样被过滤的还有from.
攻防世界 web高手进阶区 8分题 upload
闵行小鱼塘
08-28 649
继续ctf的旅程,开始攻防世界web高手进阶区的8分题,本文是upload的writeup
攻防世界 web进阶upload
weixin_42499640的博客
07-18 1579
这道题的大体思路是: 利用上传文件的文件名进行sql注入 这里先普及几个mysql函数的用法 1. CONV() 简单的来说这个函数就是用来进行***进制的转换***的 CONV(N,from_base,to_base) N是要转换的数据,from_base是原进制,to_base是目标进制。 select conv(16,10,16)...
攻防世界upload
qq_51744055的博客
05-03 793
Hex()是MySQL的Sring函数。 此方法返回给定数字或字符串的十六进制字符串 a' +(selselectect conv(substr(hex(database()),1,12),16,10))+ '.jpg 数据库名变成16进制 选取从第一个字母开始,往后数12个字母 hex 16进制再16进制 CONV(n,from_radix,to_radix):用于将n从from_radix进制转到to_radix进制 substr(str,start,length):将str从st
攻防世界--upload
qq_46263951的博客
01-09 789
这道题真是涨芝士了,原来文件名也能SQL注入... 这里应该是将文件名存到数据库中并返回到页面上显示出来 测试这里通过select时,字母无回显,十六进制无法使用,所以要使用十进制,并且要防止溢出 select、from被过滤,双写绕过 CONV(n,from_radix,to_radix):用于将n从from_radix进制转到to_radix进制substr(str,start,length):将str从start长度为length分割 hex(str):将str转成十六进制 payl
攻防世界XCTF:upload
末初 · mochu7
03-08 1112
这里有个注册登入,迷惑行为,漏洞不在这里 这题比较意外,不是上传题是sql注入而且还是文件名的SQL注入, 因为回显的只是文件名,然后它存入数据库的也可能是文件名,既然连接了数据库就可能存在注入漏洞。然后就能想到可能是文件名sql注入。 任何与数据库发生连接交互的地方都可能存在SQL注入! 然后就开始构造文件名的payload,首先介绍几个函数。 conv(N,from_base,to_ba...
file upload 攻防世界_攻防世界 upload
weixin_36443680的博客
02-23 332
攻防世界上的一道web题为什么我觉得完全不像萌新入坑的题呢 退坑还差不多吧一看名字以及页面想当然的就是文件上传了呗 结果各种尝试,也没什么办法,但是每次我们上传后会有文件名的回显 但是正常的文件上传也都有这种名字的回显,可能不太寻常的就是这个没有路径吧最后看的writeup 说是sql注入????不明白怎么能看出来是注入的图片文件名存在注入,并且过滤了select from 用双写就能绕过p...
攻防世界upload1
金 帛的博客
04-24 2448
攻防世界之文件上传
攻防世界 | upload1
weixin_47982238的博客
10-07 318
打开网页后,发现是一个文件上传的网站(其实从名字就能看出来) 看一下源代码,了解网站的上传文件的要求——要求上传图片,且文件后缀名为jpg或者png Array.prototype.contains = function (obj) { var i = this.length; while (i--) { if (this[i] === obj) { return true; } } r
攻防世界的里的upload1
一大口木的博客
05-23 861
点击后的页面看一下我的一句话木马。
攻防世界-Web-upload1
uh_eng的博客
08-25 272
0x01 查看网页源代码,猜测应该是前端验证,只能上传图片文件。前端验证就很好办,把onchange=check()删掉就好了 0x02 准备一份一句话木马<?php eval($_POST['shell']);?>,保存为shell.php,然后上传shell.php,得到返回结果: 然后可以使用菜刀连接,由于我没有装菜刀,于是在浏览器中访问给定的位置,然后通过Hackbar提交POST数据: shell=system("ls ../");这个位置是自己试出来的 shell=highli
攻防世界 文件上传
最新发布
2403_87533599的博客
02-07 1077
今天的题大概提一下解题思路就好了这里要使用php://filter 在此基础上因为网页过滤了一些关键字 我们要进行爆破就得到了cyberpeace{d85dfd5b23264ede9fc8e1f9bc93a382}
攻防世界web高手进阶upload1
hxhxhxhxx的博客
07-05 704
攻防世界web高手进阶upload1题目教程 题目 !Doctype html> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <script type="text/javascript"> Array.prototype.contains = function (obj) { var i = this.len
攻防世界web upload
01-11
为了更好地理解和实践文件上传漏洞,`upload-labs`是一个非常有价值的资源。该平台提供了多个级别的挑战来模拟不同场景下的文件上传漏洞利用方法: - **前端JS验证绕过**:尽管客户端进行了初步的安全检查,但...
评论 5
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值