[极客大挑战 2019]Upload

最新推荐文章于 2025-04-03 19:01:12 发布
原创 最新推荐文章于 2025-04-03 19:01:12 发布 · 184 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CTF #WriteUp #web安全 #web #网络安全

文章描述了一次网络安全挑战中,通过测试不同文件后缀(如phtml)和修改Content-Type来绕过过滤,最终成功执行PHP代码并获取到flag的历程。

## [极客大挑战 2019]Upload

进入靶场:
在这里插入图片描述

  • 文件上传的题目

  • 直接先传个php试试
    在这里插入图片描述

  • 不允许上传PHP

  • 尝试多种后缀:php3\php4\phtml等...
    在这里插入图片描述

  • 发现phtml可以绕过

  • 出现新的问题,:规则过滤了我们的<?

  • 试试script能不能绕过去
    在这里插入图片描述

  • 成功绕过后缀名的过滤

  • 出现新的问题:Don't lie to me, it's not image at all!!!

  • 看来是单改一个Content-Type不行,那么再在文件内容里面加上GIF的头
    在这里插入图片描述

  • 成功执行phpinfo()

  • 上马:<script language="php">eval($_POST['m0sway']);</script>
    在这里插入图片描述

  • 成功连接

  • 根目录下flag文件
    GET FLAG ! ! !

buuctf 极客挑战 upload
SopRomeo的博客
01-29 3645
最近接触了文件上传漏洞,刚好可以做这个题目了 普及下文件上传的漏洞: 根据一些bug可以把我们的木马文件上传进去从而达到控制服务器的目的 分享一下两位哥文件上传漏洞的技巧以及讲解 文件上传的常见技巧 文件上传漏洞的普通技巧与讲解 这道题百度了好久,才做出来 当个web狗真的难受 这道题考到了文件头绕过以及js代码绕过 先看看是不是黑名单 发现phtml可行 这边我在burpsuit试了很久才试...
BUU_Web 极客挑战 Upload
qq_46635165的博客
09-26 373
打开题目网址,文件上传: 尝试上传 webshell.php ,一句话木马: 看来是不能上传 .php,抓包发现需要上传jpg格式图片: 将文件后缀格式改成 jpg 格式: <? 被检测,只能换一种一句话木马了,: <script language="php">eval($_POST['cmd']);</script> 提示检测到不完全是图片,写入 jpg 格式文件头,再次上传,仍然显示不完全是图片,写入GIF格式文件头:GIF89a ,再次尝试上传: 上传成功,接下来
CTF中的BUUCTF之[极客挑战 2019]Upload
weixin_44632787的博客
06-17 702
CTF中的BUUCTF之[极客挑战 2019]Upload 启动我们的挑战项目 这个界面,一看就知道是文件上传的类型的题目了 所以用我之前准备好的一句话木马: GIF89a? <script language="php">eval($_POST['zyh']);</script> 之所以用这种一句话木马,是因为这种过滤方法比原版的:<?php @eval($_POST['attack']);?> 要好用。(个人观点) 将上面的一句话木马保存为1.png。 然后开
【BUUCTF]极客挑战 2019Upload1 write up
GZWZ_的博客
04-23 1287
文件上传冲啊!!!!!!
[极客挑战 2019]Upload全网最详细WP
最新发布
siyue_secret的博客
04-03 567
但是从页面信息可知,网站不仅会检查文件类型,网站会检查文件内容。,因为网站后台可能在解析时可能会将其作为图片解析,不能达到我们的目的。我们先尝试构造一段“带漏洞”的php代码,命名为。,直接查看根目录下的文件(flag一般放在网站根目录中)(3)接下来,我们需要利用上传的这个“带漏洞”的文件来。文件夹,居然访问成功了,也可以在里面看到我们刚才上传的。所以我们在文件开头加上用于绕过此检测的GIF文件头。说明网站有一定的过滤机制,尝试将文件名改为。果然找到了flag,然后请求改为。的内容,并将其作为命令执行。
[极客挑战 2019]Upload--BUUCTF
XiaoYeZhu_1314的博客
04-24 886
添加头文件:GIF89a改文件格式为image/jpegcheck。
极客挑战2019-upload
m0_73303597的博客
12-11 466
自用
[极客挑战 2019]Upload 1
徐海洋
02-02 837
[极客挑战 2019]Upload 1
[极客挑战 2019]upload
04-02
华为云计划在未来两天举办一系列活动,其中包括丰富的专题论坛、圆桌论坛,还有Codelabs、极客挑战赛等活动[^1]。这些活动旨在让开发者能够与华为专家面对面交流,激发技术创新的想法。因此,如果想要参与极客挑战...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值