bugku ctf 文件上传测试

最新推荐文章于 2024-11-05 14:39:50 发布
原创 最新推荐文章于 2024-11-05 14:39:50 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ctf

在Bugku CTF挑战中,遇到一个文件上传的关卡,系统仅允许上传图片文件。通过使用Burp Suite抓包并修改文件扩展名,成功上传PHP文件,从而揭示Flag:42e97d465f962c53df9549377b513c7e。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

打开后发现

让你上传php文件

接着试着上传       PHP文件       但是   为什呢????????

它居然提醒你   非图片文件

之后   你试着 上传  图片文件  

然后会出现

 

 

此时  你肯定会  心中无数只草泥马路过!!!!

 

 

接着  仔细回想    题目   上传PHP文件,,但会提示让你上传图片文件&n

最低0.47元/天 解锁文章

200万优质内容无限畅学
bugku 文件上传
hintll的博客
06-16 5501
bugku 文件上传 今天将一道很无语的题: 首先是这道题要花五个金币,但是做出来了也才有四个金币,那么这道题做了还亏1个金币 打开场景以后: 就是一个普通的文件上传的页面 先传一个php试一下 回显的也是大概就是文件的格式不合法 那就试一下php4、php5、php6和phtml 还是一样的回显 看一下前端的源码: 检查了一下发现前端没有过滤 那应该就是后端过滤了 这题最无语的地方就是这里了 后端的源码只有传木马后才能看到 但是没有后端的源码又不知道怎么改包传木马 那就先看后端的源码吧: 看了源码后直接传
BugkuCTF——最新web篇writeup(持续更新)
1匹黑马
11-16 4269
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
BugKu文件上传测试
D-R0s1的博客
07-21 1684
                                        BugKu文件上传测试         今天在BugKu刷web题的时候,遇到了一个需要文件上传的题目,叫做文件上传测试,这个方法是我之前没有和大家分享过的,今天和大家分享一下个关于文件上传测试这道题目所涉及的有关过程,我是一个刚入坑的小白,分享出WriteUp的目的就是和广大刚入门的小白一起进行学习交流,有误之处还...
BugKu CTF(web篇)--文件上传
Nailaoyyds的博客
04-26 2979
题解 这个是后端绕过,跟前端差不多,前端更简单一些,只需要抓包在burp改然后放包就好 这是一个上传的上传口,上传一个一句话木马试一下(php类型) 放到burp重放器里查看, My name is margin,give me a image file not a php 它要是的图像,不是php 但是你的目的就是绕过后端过滤,传上它限制的php格式,然后连上他的后台 上传了一个图片马,它显示是上传成功的,他上传上去以后会自动改名字 ......
文件上传测试
WYJ____的博客
08-06 356
上传.jpg图片,抓包,将后缀名改为.php后提交,flag就会显示出来。
Bugku CTF_Web——Flask_FileUpload
weixin_71914594的博客
11-05 240
意思是上传文件然后用python运行返回结果。设置白名单只能上传jpg或者png文件。保存后将文件改为png或者jpg上传。下一步直接修改代码查看flag。F12查看找信息看到一行注释。那直接上传python代码。
Bugku CTF 每日一题 xxx二手交易市场
彼岸花苏陌的博客
01-17 3516
xxx二手交易市场 打开看见是一个网站 所以从零开始测试 1.首先点开一个商品 往下滑有回复框 但是要先注册 所以等注册了再来测试 2.搜索栏也不能用 暂时放过,不过在二手界面发现了一个搜索框 输入一般的sql查询发现好像过滤了# ‘’“”等 3.求购 公告栏也没什么可以利用的 4.发现登录注册框 先爆破一下,不过有验证码爆破不行还要识别验证码,先放放 5.先注册一个账号 看了一下功能,先上个商品看看? 额 要管理员验证 走不通 邮箱签名那块也是有输入验证 再去看看回复框 好像没什么用 再翻了翻 还有上
[Bugku] web-CTF靶场系列详解①!!!
muyuchen110的博客
07-30 1421
平台为“山东安信安全技术有限公司”自研CTF/AWD一体化平台,部分赛题采用动态FLAG形式,避免直接抄袭答案。
[Bugku] web-CTF靶场系列系列详解⑥!!!
muyuchen110的博客
08-09 1169
【代码】[Bugku] web-CTF靶场系列系列详解⑥!!!
bugku Flask_FileUpload
stantic的博客
03-16 1229
进去是上传一个文件,ctrl+u看一下 只允许上传jpg和png文件,提示说上传的文件会一python执行,那就构建一个名为4.jpg的文件,内容为 import os os.system('cat /flag') os.system用来执行cmd指令,在cmd输出的内容会直接在控制台输出 flag{6d8855f8728b8b233cd51d3f792fbd53} ...
Bugku upload
m0_72698033的博客
08-23 528
新手ctf
CTF-Bugku-WEB-Flask_FileUpload
P5093的博客
06-07 1339
个人学习记录笔记。
BugKu_文件上传
Kobalos的博客
09-16 811
直接访问目标地址,发现他给了一个上传点 看到他的提示让上传一个图片,不能上传php,那就先上传一个正常图片看看是什么样子的 可以看到上传成功后是直接给出上传后的地址的,并且还给出了超链接,那么来尝试一下上传木马 直接爆破后缀,失败,尝试绕过限制 讲请求包中的Content-Type: multipart/form-data,修改成Content-Type: Multipart/form-data(将m大写),再次爆破后缀名,发现php4上传成功了 掏出蚁剑尝试连接shell 成功getshel.
bugku 文件上传2
小白渣的博客
09-16 468
这题打开发现是404 我是懵逼的 然后我就想用御剑扫一下后台 结果 咦~ 发现了一个zip文件 然后打开一看flag就在 这个文件中 好像有点简单~~
bugku web 文件上传2
m0_58189778的博客
08-19 722
题目:bugku 文件包含2 知识点:文件包含 工具:中国剑蚁 解题: 点开链接: 有点小炫酷的动画,除此之外没有什么信息,看一下源码: 发现注释中隐藏的upload.php,与题目的文件上传吻合了,现在思考怎么使用这个文件名,是直接访问还是如同默认页面一样,在file后传入文件名: 这里我们选择后者,比较幸运,成功了: 查看源码也并无玄机,看来应该到了上传文件的时候了。 文件上传通常需要我们做的是,上传一个恶意php脚本,然后我直接访问或者...
bugkuctf——文件上传测试
weixin_40980428的博客
03-30 1524
打开链接后看到需要上传php文件先新建一个php文件然后上传显示非图片文件然后上传图片显示非php文件发现都不行,于是抓包试试然后改了一下文件名后缀上传就得到了Flag:42e97d465f962c53df9549377b513c7e...
BugKu_web_FileUpload
羽的博客
06-18 134
文件上传. 一开始
Bugku-Flask_FileUpload
weixin_58595795的博客
07-27 2008
1、F12打开开发者工具,查看网页源代码,发现一段注释,(意思为给我一份文件,我会通过python运行后将结果返回给你)
bugku——Flask_FileUpload
yc20030119的博客
08-21 873
照例先检查一下源代码(显示文件只能通过jpg或者png进行上传,并且是用python进行返回)那条件都了解了,接下来就是写对应的文件了(我用笔记本写的相对应的文件)第一个文件上传结果为目录(惊奇的发现里面有flag文件)然后将文件的后缀名改成png结尾的文件。第二个文件(text1)然后将两个文件分别上传。第一个文件(text)
bugkuctf渗透测试3
最新发布
01-02
### BugKu CTF 渗透测试教程与资源 BugKu平台提供了丰富的CTF挑战项目,这些题目按照不同的难度级别分类,确保无论是初学者还是专业的渗透测试人员都能够找到适合自己水平的挑战[^1]。 对于希望深入了解并参与BugKu CTF活动的人来说,可以从以下几个方面入手: #### 学习路径建议 - **基础知识积累**:通过观看专门针对网络安全领域的教学视频来快速掌握基本概念和技术要点。这类视频通常会引导学习者逐步深入理解各个知识点,从而实现高效的学习效果[^4]。 - **实践操作训练**:利用BugKu平台上提供的各类实战型题目来进行练习。每道题都设计有特定的目标和背景故事,旨在模拟真实的网络攻击场景,帮助参赛者提高实际解决问题的能力。 #### 技术工具推荐 为了更好地完成CTF中的渗透测试环节,可以参考一些常用的技巧和方法汇总文档,其中不仅包含了多种有效的技术手段介绍,还分享了许多宝贵的经验教训[^2]。 #### 特定漏洞研究 当遇到某些特殊类型的漏洞时,比如PHP环境中可能出现的`0e`开头MD5哈希碰撞问题,则需要针对性地查阅相关资料了解其成因及防范措施[^3]。 ```python import hashlib def check_vulnerable_hash(input_string): md5_value = hashlib.md5(str.encode(input_string)).hexdigest() if md5_value.startswith('0e'): print(f"The hash {md5_value} might be vulnerable.") else: print(f"The hash {md5_value} is not vulnerable.") check_vulnerable_hash("example") # 测试输入字符串是否会生成潜在危险的哈希值 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值