hackinglab-上传关1——请上传一张jpg格式的图片1

最新推荐文章于 2022-04-20 11:34:19 发布

原创最新推荐文章于 2022-04-20 11:34:19 发布 · 1.4k 阅读

1 ·

CC 4.0 BY-SA版权

CTF基础练手专栏收录该内容

68 篇文章

订阅专栏

本文探讨了如何通过修改文件名后缀绕过常见的文件上传限制。具体案例中，通过将文件名从test.php更改为test.php.jpg，成功绕过了系统检测，最终只需上传test.php即可实现目的。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

请上传一张jpg格式的图片1

题目描述

这里写图片描述

解题思路

查看源码，意思是检测上传文件名的最后一个字符串是不是jpg,所以把文件名改为test.php.jpg即可绕过，抓包改成test.php即可
这里写图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

爱吃鱼L

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

hackinglab-脚本关2——快速口算

Ifish的博客

07-23

1845

题目描述解题思路 1、发现是一个计算题提交显示 2、这就需要脚本了，先获取自己的cookie 3、脚本： import requests import re url = 'http://lab1.xseclab.com/xss2_0d557e6d2a4ac08b749b61473a075be1/ index.php' ...

hackinglab-解密关1——以管理员身份登录系统

Ifish的博客

07-28

2893

以管理员身份登录系统题目描述解题思路 1、点开题，把功能试了试，根据题目提示，应该和登录页面无关 2、抓包，看到重置密码的链接中有2个参数，基本上就确定是伪造admin重置密码的链接，发送这个链接重置管理员密码 3、改了username，发现还是不行，那就应该是改sukey 4、sukey像是MD5加密过的字符串，解密这是个啥，好吧，我研究了...

参与评论您还未登录，请先登录后发表或查看评论

hackinglab-上传关2——请上传一张jpg格式的图片2

Ifish的博客

07-31

949

请上传一张jpg格式的图片2 题目描述解题思路查看源码，意思是检测上传文件名的第一个.后的字符串是不是jpg,所以把文件名改为test.jpg.php即可绕过，抓包改成test.php即可 ...

hackinglab-上传关3——请上传一张jpg格式的图片3

Ifish的博客

07-31

898

请上传一张jpg格式的图片3 题目描述解题思路这道题和上道题一样，不需要修改为test.php，直接上传即可得到key

hackinglab上传关第一题

weixin_30684743的博客

04-07

163

请上传一张jpg格式的图片分值: 100 只能上传jpg格式的图片哦~！通关地址看源码，js做的文件后缀验证，极端不安全。由于我没有开brupsuit，所以将源代码复制到本地，新建一个html，内容如下： <html> <head> <meta http-equiv=Content-Type content="text/html...

上传关1

weixin_30410999的博客

07-16

152

emmmmmmm,咱们看看题目先：请上传一张jpg格式的图片分值: 100 只能上传jpg格式的图片哦~！然后点进去，我们先跟着做了一下，上传一个jpg图片然后，它给了我们这么一句话。。。。。。好吧，看上去是被耍了。。。。。。。。。。。。。QAQ 然后，我突然在url栏按下了回车，奇迹出现了。。。。。。。说实话，这k...

Hackinglab上传关第三题解题思路

weixin_30855761的博客

04-18

438

这道题和第一题差不多，都是在前端做的验证： var filename=document.getElementById("file"); var str=filename.value.split("."); var ext=str[1]; if(ext==='jpg'){ return true; }else{ alert("请上传一...

hackinglab-脚本关5——逗比验证码第一期

Ifish的博客

07-23

1525

逗比验证码第一期题目描述解题思路 1、打开发现是一个模拟登陆界面 2、随意输了一个四位纯数字密码，提示密码错误估计就是要暴力破解了，刚才题目又提示验证码有没有都一样，所以应该是可以绕过 3、抓包发现这个验证码可以只输一次，不过期所以爆破 4、使用burp suite的Intruder 5、添加爆破的变量 6、设置密码的范围 7、...

hackinglab-脚本关11——验证码识别

Ifish的博客

07-31

1779

验证码识别题目描述解题思路 1、打开链接，查看源码 2、尝试了一下，发现验证码必须每次验证，所以就用Pkav HTTP Fuzzer来进行爆破 3、对Pkav HTTP Fuzzer配置 (1)对手机验证码进行标记，对验证码添加验证码标记 (2)设置手机验证码范围 (3)添加验证码地址，进行相关设置 (4)设置单线程模式 (5)点击启...

hackinglab-基础关12——就不让你访问

Ifish的博客

07-28

1160

就不让你访问题目描述：解题思路：打开链接，提示查看admin.php，发现查看源码也没有，发现可以访问robots.txt 根据提示，查看disallow 提示要到login page中再继续访问login.php，得到key ...

靶场练习之hackinglab(鹰眼)- 上传题

快乐时光

05-17

254

1、上传jpg图片文件题目提醒上传jpg格式的图片文件，访问链接http://lab1.xseclab.com/upload1_a4daf6890f1166fd88f386f098b182af/，查看网页后台发现前台上传时会进行后缀名验证，现选择一个文本文件，将后缀名修改为jpg，然后进行上传。上传之后页面跳转到http://lab1.xseclab.com/upload1_a4daf6890f1166fd88f386f098b182af/upload_file.php，刷新当前页面...

Hackinglab文件上传解题笔记

FunkyPants的博客

09-30

611

环境：Firefox浏览器+FireBug插件 1. 题目中要求上传一个jpg文件，但是如果你真的上传了一张jpg图片时… 可知，我们应该还是要上传一个php文件。按F12可以看到，在前端有一个js脚本会对我们上传的文件类型进行验证。接下来，在安装了FireBug插件后，我们可以直接删除表单中触发js事件的onsubmit属性。删除之前：单击，删

网络信息安全攻防学习平台--上传关1

XL5L7的博客

03-14

401

网络信息安全攻防学习平台--上传关1打开通关地址用记事本写一句话木马上传文件得到答案打开通关地址用记事本写一句话木马 <?php @eval($_POST[''123']);?> 并把文件格式改成 jpg 上传文件选择刚写好的木马如图所示先不上传，更改浏览器的网络设置再打开BurpSuiteCommunity，然后点击上传把 jpg改成php，然后放包（放包点击 forward）得到答案 IKHJL9786#$%^& 得到答案之后记得把浏览器的网络设置改回再

[hackinglab][CTF][上传关][2020] hackinglab 上传关 writeup

dadongwudi的博客

01-17

272

上传关 1 请上传一张jpg格式的图片关键字：步骤： 1.F12查看源码 2.输入网址获得key http://lab1.xseclab.com/upload1_a4daf6890f1166fd88f386f098b182af/upload_file.php 上传关 2 关键字：burp 知识点：步骤：看源码抓包改后缀 IKHJL9786#$%^& 上传关 3 关键字：知识点：步骤：看源码抓包改后缀 ...

hackinglab上传关

Yale的博客

04-07

2451

上传关 1.请上传一张jpg格式的图片查看源代码，有个upload_file.php 点进去就出来key了 2.请上传一张jpg格式的图片 Burp抓包后将jpg随便改为什么，key就出来了 3.请上传一张jpg格式的图片这里的源码的作用是分割文件名并验证后一部分所有构造xxx.jpg.txt就可以了

网络攻防安全学习平台-上传关3

XL5L7的博客

04-20

2115

注：本人使用的是火狐浏览器，下面会用到软件burpsuite 链接：http://hackinglab.cn/ShowQues.php?type=upload 进入通关地址后我们查看页面源代码代码中第八行中的语句语义为：将文件的名字以“ . ”进行分割存放在一个数组中。第9行中是用数组中的第二个进行判断，用来执行下面的函数。一般的网页是不会显示此代码的，由此代码可知题中的逻辑判断不是由后台判断的，是前端直接进行判断。我们先在桌面新建一个txt文件写一个一句话木马然后将文件后缀名改成.jpg 打开

网络安全攻防实验室通关教程-上传关

黑面狐

10-22

5387

网络安全实验室地址：传送门：http://hackinglab.cn 第一题：请上传一张jpg格式的图片只能上传jpg格式的图片哦~！查看网页源码，很清楚看到是前端JS控制的，那么直接禁用JavaScript就可以上传php文件了禁用JS后直接上传php文件获取flag 还可以通过拦截数据包，修改为php文件第二题：请上传一张JPG格式图

文件上传(WEB安全攻防读书笔记)

小英雄颂人头

02-26

378

0xx1 文件上传漏洞产生原因上传文件时,服务端代码没有对客户端上传的文件进行严格的验证和过滤,就容易造成可以上传任意文件的漏洞包括asp,php,jsp等危害非法用户利用上传的恶意脚本文件控制整个网站甚至控制服务器,这个恶意文件被称为WebShell,WebShell脚本具有非常强大的功能,比如,查看服务器目录,服务器文件,系统命令等 0xx2 文件上传绕过 JS检测绕过如果上...

网络安全实验室--上传关解读

qq_43348375的博客

08-23

515

** 网络安全实验室–上传关解读 ** 第一题：请上传一张jpg格式的图片分值：100 只能上传jpg格式的图片哦~！首先看到这道题，你会注意到最后一行的提示信息“只能上传jpg格式的图片哦~！”这个提示信息说的那么的骚，说明肯定存在问题。机智的我果断上了burpsuit，直接抓包一探究竟。正常上传之后发现：遭到了嘲讽。抓包之后发现：试着将上传文件的后缀名换成别的发现了ke...

http://hackinglab.cn/index.php

03-16

您好，http://hackinglab.cn/index.php 是一个网络安全实验室的网站，提供了各种网络安全实验和挑战，旨在帮助人们学习和提高网络安全技能。该网站还提供了一些网络安全工具和资源，供用户下载和使用。如果您对网络...