Welcome To Myon'Blog !

查看源码，前端只让传 zip上传 zip 成功后可以进行下载随便搞一个压缩包，使用记事本编辑，在其内容里插入一句话木马：上传该压缩包，上传成功后点击下载文件，使用 burpsuite 抓包：我这里木马内容用的 request ，就在 get 里执行 ls 没什么问题，但是读取 flag 时识别有点问题，最好使用 post 请求，因此将请求方法改为 post ，将 file 的内容还原到上面。

web164 和 web165 的利用点都是二次渲染，一个是 png，一个是 jpg二次渲染：网站服务器会对上传的图片进行二次处理，对文件内容进行替换更新，根据原有图片生成一个新的图片，这样就会改变文件原有的一些内容，我们需要将一句话木马插入到数据不会被改变的位置，确保一句话木马不会受到二次渲染的影响。

后面又去 b 站看了下视频，发现它远程包含的就是一个 php 文件，而我这里包含的 shell 是一个纯文本的东西，我最开始以为是将这段内容包含进了 index.php 的代码里，所以就没有考虑它不是 php 后缀是否可以正常解析的问题。后面问了群里的师傅，说用 flask，我原本用的是 Apache 搭的服务，重置了服务器，Apache 和 php 其实都是刚下的，可能还需要配置点什么吧，不清楚，因此我们将木马放到 flask 服务上去。那么我们上传的文件名就不使用后缀即可：这里以 test 为例。

试了下前端只能传 png 后缀的将一句话木马改成 png 后缀，上传后用 burpsuite 抓包绕过前端检测后，改回 php 后缀，发包拿到 flag：ctfshow{e3bd0332-4d5f-4255-941f-a2e6095c4f17}我们还可以直接改它前端验证的代码：原本只支持上传 png 后缀的文件我们加一个 php 后缀进去，即可直接上传 php 后缀的文件。

我再强调一遍，关于文件上传漏洞的题，绝大多数情况下我们是无法知道后端源码的，只有每个方向慢慢尝试，并不是说看到就知道要用什么方法，都是不断换方向试出来的。这里要使用的是空格绕过，那么它基于的原理就是：Windows系统对于文件的重命名会自动把空格给去掉（这里如果直接在上传时添加空格是不行的）所以我们需要进行抓包，然后在抓到的数据包中将文件名后缀加上空格，即可实现绕过。

尝试传配置文件 .htaccess 和 .user.ini。尝试传修改后缀的普通一句话木马，被检测。接下来继续传入经过修改的木马。在根目录下找到flag。没有被检测，成功绕过。

我们可以使用多线程并发的访问上传的文件，总会有一次在上传文件到删除文件这个时间段内访问到上传的php文件（m.php），一旦我们成功访问到了上传的文件（m.php），那么它就会向服务器写一个shell（shell.php）。换句话说，我们最终利用的并不是我们上传的文件，上传只是为了能有一刻成功访问，一旦访问成功，便会写入一句话木马，我们最终利用的就是新写入的php文件。但是通过抓包我们可以发现，其实php文件以及配置文件都是上传成功了的（响应200）filename=m.php（即我们上传的文件）

1、常规前端绕过2、修改文件类型3、使用 .user.ini 或 .htaccess（可能还存在大小写绕过）4、使用字典爆破可行后缀5、结合文件包含漏洞使用图片马6、条件竞争

easyupload文件上传题用BurpSuite进行简单的抓包、改包、放包一句话木马绕过getshell