xctf easyupload

最新推荐文章于 2025-06-04 21:58:43 发布
最新推荐文章于 2025-06-04 21:58:43 发布
阅读量612 收藏
点赞数 2
分类专栏: ctf web xctf杀我 文章标签: php apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_51796436/article/details/126903561
版权

文章目录

easyupload

本题抓包存在黑名单的会xxxx is wicked。几次修改知道有如下黑名单

检查文件内容是否有php字符串
检查后缀中是否有htaccess或ph
检查文件头部信息
文件MIME类型
  • 第一条可用<?= phpinfo();?>绕过
  • 第二点可以通过上传.user.ini以及正常jpg文件来进行getshell,可以参考以下文章.user.ini文件php后门
  • 第三点绕过方式即在文件头部添加一个图片的文件头,比如GIF89a
  • 第四点绕过方法即修改上传时的Content-Type

.user.ini文件

  • 除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一直上升到 web 根目录
  • 实际上,除了PHP_INI_SYSTEM以外的模式(包括PHP_INI_ALL)都是可以通过.user.ini来设置的

指定一个文件,自动包含在要执行的文件前,类似于在文件前调用了require()函数。而auto_append_file类似,只是在文件后面包含。 使用方法很简单,直接写在.user.ini中:
auto_prepend_file=01.gif 01.gif是要包含的文件。
所以,我们可以借助.user.ini轻松让所有php文件都“自动”包含某个文件,而这个文件可以是一个正常php文件,也可以是一个包含一句话的webshell

getshell

某网站限制不允许上传.php文件,你便可以上传一个.user.ini,再上传一个图片马,包含起来进行getshell。不过前提是含有.user.ini的文件夹下需要有正常的php文件

在服务器中,只要是运用了fastcgi的服务器就能够利用该方式getshell,不论是apache或者ngnix或是其他服务器。
这个文件是php.ini的补充文件,当网页访问的时候就会自动查看当前目录下是否有.user.ini,然后将其补充进php.ini,并作为cgi的启动项.

在这里插入图片描述

再上传一个a.jpg,内容为
GIF89a

<?=system('cat /flag');?>

或者一句话马。
在这里插入图片描述
查看上传位置,在uploads/index.php,蚁剑连接flag如下:
在这里插入图片描述

【网络安全 | CTF】攻防世界 easyupload 解题详析
等风来
07-31 1万+
抓包改后缀,.php1~.php9、.htaccess均被过滤(.htaccess 文件是一个用于配置 Apache Web 服务器的配置文件。它通常位于网站根目录或特定目录中,用来为该目录及其子目录提供特定的配置指令):提示:只要是运用了fastcgi的服务器都能够利用该方式getshell,不论是apache或者ngnix或是其他服务器。
【web | CTF】攻防世界 easyupload
weixin_46301214的博客
01-31 933
天命:好像也不太easy首先判断只能上传图片格式的话,那只能通过其他漏洞来把图片解析成php才能构成漏洞了看了一下别人wp,原来是利用php的配置文件来实现漏洞攻击php的 user.ini 配置文件里,有一个参数是在文件运行前把某个文件包含进来的我们只需要做一个局部配置文件,即可触发效果然后上传图片,把图片包含进来即可就相当于触发了文件包含漏洞。
ctf (easyupload1.0)
Glacier_Mount的博客
06-29 1223
简单的文件上传题
XCTF攻防世界进阶区writeup(1-5)
stepone4ward的博客
07-04 1336
1. isc-06 进入题目后看到url后存在参数id,尝试各种注入方式后均无果,使用bp对id参数进行爆破后得到flag。 2.NewsCenter 对search参数进行bool类型的盲注 import requests s=requests.session() url="http://111.198.29.45:38153/index.php" key='' for i in range(1...
攻防世界ctf题目easyupload做题笔记。
qq_56426046的博客
08-27 5364
攻防世界ctf题目easyupload做题笔记。
ctf练习之Easy upload
SDM_JH的博客
08-07 2893
一、进入目标站点,查看网页源码,发现上传后缀白名单。 二、先上传一个.png的图片看看,得到提示。 三、打开burp suite,设置代理。修改上传的文件名,绕过前端限制,得到新的提示。 四、在图片内容的中间位置插入内容,得到flag ...
CTF之easyupload
qq_74263993的博客
07-14 393
拿到题目发现是文件上传的漏洞,但是这个黑名单过滤的有点严格,无论是文件里还是文件后缀都不能出现php那我们就用<??>来进行绕过(注意这里要加个GIF89a或者GIP87a进行欺骗)但是后缀依然不能绕过怎么办?接下来就要学新知识了。
【攻防世界】CTF 网络安全学习 easyupload
Bing_Geng的博客
11-15 934
中国蚁剑 kali 零基础安装中国蚁剑 user.ini PHP 配置
攻防世界easyupload
m0_73303597的博客
11-10 536
自用
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
XCTF-RE】新手练习区-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
攻防世界 easyupload
rev1ve的博客
03-09 831
ctf攻防世界 easyupload web
XCTF1-web easyupload
orchid_sea的博客
11-23 867
而.user.ini和.htaccess一样是目录的配置文件,.user.ini就是用户自定义的一个php.ini,我们可以利用这个文件来构造后门和隐藏后门。测试后缀名phpphp5、ph,发现禁止了ph,随便测试其他后缀发现是ph黑名单验证,尝试上传.htaccess解析文件,后缀也被禁用了。测试文件类型,对MIME进行了图片检测,可以修改Content-type为图片类型绕过。是个文件上传的页面,测试上传的文件类型,发现是图片上传点。上传正常图片,会回显文件上传的路径。
攻防世界-easyupload
m0_49025459的博客
12-24 343
这个文件是php.ini的补充文件,当网页访问的时候就会自动查看当前目录下是否有.user.ini,然后将其补充进php.ini,并作为cgi的启动项。其中很多功能设置了只能php.ini配置,但是还是有一些危险的功能可以被我们控制。接下来,大家可看可不看,我告诉大家,我是怎么找到过滤的,又是怎么发现是.user.ini的,我拿到题一点头绪没有,但是这几天做题,我发现我有一个一句话木马的总结,刚好被我试出来了。题如其名,文件上传的形式,那么我先把正常的上传步骤告诉大家,然后我再说我是怎么做的。
XCTFeasyupload[WriteUP]
如有错误感谢斧正
12-05 429
并在proxy模块中,将Content-Type改成jpg的MINE格式改成这个亚子:点击Forward放行 这样就显示上传成功了 接下来创建一个SHELL:hp.jpg直接上传即可hp.jpg内容:这里不能用
Easyupload(攻防世界)
xyh000001的博客
06-30 805
然后就可以开始找flag,当然你也可以一开始就把muma.jpg里的代码改成cat,直接抓取flag,还省的自己找。把Content-Type: application/octet-stream改成。我打/直接拉到最下面有flag点进去就是答案了。上传a.jpg这样才算成功(如图)。1.新建.user.ini文件。用蚁剑连接(每个人的都不一样)上传上面的文件用BURP抓包。新建a.txt文件,内容为。保存后把文件名改成.jpg。F12打开网络找到网址。
防火墙设置实战操作案例(小白的“升级打怪”成长之路)
最新发布
deeper_wind的博客
06-04 1254
目录一、操作前准备:1、准备4个Rocky8虚拟机2、网络规划防火墙要求虚拟机配置更改网络模式:二、操作前连接测试三、操作成果1、内部网络中的pc1采用SNAT访问外部互联网,但是无法ping到内部网关。2、内部网络服务器s1通过DNAT发布服务到互联网。3、互联网主机pc2能够访问s1区域的服务器,但是不能够进行ping和ssh连接。内部PC1位于内网区域,地址段为: 192.168.1.0/24,pc1地址为:192.168.1.1/24,网关地址为:192.168.1.254/24服务器S1位于服务器
XCTF的Three
03-21
### XCTF Three 题目解析 关于 XCTF 中与 “Three” 相关的题目或技术细节,虽然当前引用未直接提及具体名为 “Three” 的题目,但从已有的参考资料可以推测可能涉及的内容领域和技术方向。 #### 可能的技术领域 根据现有的引用内容分析,“Three” 类型的题目可能会覆盖以下几大类别之一: 1. **网络流量分析 (Network Traffic Analysis)** 如果题目名称为 “Three”,它可能是一个基于 pcap 文件的网络数据分析挑战。例如,在引用中提到通过 `tshark` 工具提取数据包中的隐藏信息[^2]。如果该题目属于此类,则需要掌握如何利用工具(如 Wireshark 或 tshark)以及编写脚本来处理特定协议的数据流。 ```python from os import system as get_hex # 使用 tshark 提取 ICMP 数据包中的有效载荷 get_hex("tshark -r three_data.pcap -Y \"icmp && icmp.type==8\" -T fields -e data > extracted_flag.txt") with open('extracted_flag.txt', 'r') as file: flag = ''.join([chr(int(line.strip(), 16)) for line in file]) print(flag) ``` 2. **密码学加密算法 (Cryptography Algorithms)** 若 “Three” 是一道密码学相关的题目,那么其核心可能是 RSA 加密机制或其他公钥基础设施的应用场景。正如引用中描述到的 p、q、e 和 c 参数组合提示这是一道典型的 RSA 解码问题[^3]。解决这类问题通常依赖于因数分解或者寻找私钥 d 来完成最终解密过程。 3. **反序列化漏洞 (Deserialization Vulnerabilities)** 对象反序列化的安全风险也是 CTF 比赛常见的考点之一。比如某个 PHP 序列化字符串存在多余字段的情况可能导致绕过某些保护措施而触发危险函数调用[^5]。假设此题命名为 “Three”,则需注意是否存在类似的逻辑缺陷可被攻击者利用。 4. **逆向工程 Reverse Engineering** 这种类型的竞赛项目往往要求参赛选手深入理解目标程序内部结构及其运行原理。尽管目前没有明确指出是否有这样的实例存在于 XCTF 系列赛事之中,但考虑到比赛整体难度设置合理全面的特点来看可能性依然较大。 --- ### 示例代码片段展示 以下是针对上述几种情况分别提供的一些简单实现方式作为参考学习用途: #### 方法一:使用 PyShark 处理 PCAP 文件 ```python import pyshark def extract_icmp_payload(pcap_file): capture = pyshark.FileCapture(pcap_file, display_filter='icmp') result = [] for packet in capture: try: layer = packet['data'] hex_str = str(layer.data).replace(':', '') ascii_char = bytes.fromhex(hex_str.decode()).decode() result.append(ascii_char) except AttributeError: continue return ''.join(result) print(extract_icmp_payload('three_data.pcap')) ``` #### 方法二:模拟 RSA 密钥恢复 ```python from Crypto.Util.number import inverse # 输入参数 n = int(...) # 给定模数 n=p*q e = ... # 公钥指数 e ciphertext = ... # 加密后的消息 c # 计算 phi(n)=(p-1)*(q-1),这里省略了质因子求法部分 phi_n = ... d = inverse(e, phi_n) # 私钥计算 plaintext = pow(ciphertext, d, n) # 明文还原 print(f"Plaintext is {plaintext}") ``` #### 方法三:检测 PHP 反序列化漏洞 ```php class Xctf { public $value; function __construct($val){ $this->value=$val; } } // 构造恶意输入使 __wakeup 不被执行 $payload=serialize(new Xctf(array())); echo urldecode($payload); ``` --- ### 结论总结 综上所述,“XCTF Three” 很有可能围绕着以上几个方面展开设计思路。无论是哪一类别的考题形式都需要扎实的基础理论支撑加上灵活运用技巧才能顺利解答成功拿到 Flag!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值