攻防世界 文件上传总结

最新推荐文章于 2025-02-07 05:27:47 发布
最新推荐文章于 2025-02-07 05:27:47 发布
阅读量700 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_56559508/article/details/127934349
这篇博客总结了攻防世界中关于文件上传漏洞的案例,包括easyupload和upload1两个题目。作者指出,文件上传漏洞通常由于未对上传文件进行严格审查,允许上传恶意文件如php或包含危险函数的文件。在easyupload中,利用user.ini文件来实现类似.htaccess的功能,通过配置文件解析实现文件执行。而在upload1中,可以通过前端代码篡改或使用Burp Suite修改文件头绕过后缀名检查。文章强调了前端和后端检查的重要性,并表示将补充更多相关知识。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00

文件上传漏洞,(主要指上传至后端的)对上传的文件以及文件内容并未做出审查过滤,导致给后端服务器上传木马或者含有危险函数的文件。

0x01

题目:easyupload

官方wirteup写的很明白,绕过的点:

  • 检查文件内容是否有php字符串
  • 检查后缀中是否有htaccess或ph
  • 检查文件头部信息
  • 文件MIME类型

下面是抓的数据包

然后这题思路是通过上传user.ini,然后上传user.ini中对应的格式文件配上payload。最后在访问上传的payload的文件。

user.ini的作用和.htacess文件作用是类似的,都是通过上传配置文件,利用配置文件解析当前目录指定文件,比如我上传了user.ini/..htacess 这里面内容我定为将png.文件解析为.php文件,我在访问.png文件就会解析为php内容反馈到浏览器上

这题有个拓展可以去了解,凡是用fastcgi的服务器,apache/ngnix 都可以用此思路

最后上传文件后,你可以用蚁剑或者相关工具,翻目录查看,也可以命令执行直接cat flag。

题目:upload1

查看网页源码

最低0.47元/天 解锁文章

200万优质内容无限畅学
[xctf]ics-07攻防世界(代码审计 + 正则 + 文件上传
qq_37301470的博客
11-20 535
Ics -07 攻防世界 代码审计 + 正则 + 文件上传 + 登录session 源代码已经给出 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title> </head> <body> <?php session_start(); if (!iss
7.攻防世界 wzsc_文件上传
2401_86760082的博客
02-06 915
打开题目页面如下上传了一张带有木马的图片返回的页面是空白的,不过路径变了猜测存在根目录/upload也可以通过dirsearch扫描根目录命令:终于得到了上传的文件的信息但是测试发现.php文件以及..user.ini这种文件都没有传上去文件后缀有限制,使用竞争绕过。
攻防世界-web-wzsc_文件上传
mlws1900的博客
08-24 4497
1、网站允许上传任意文件,然后检查上传文件是否包含Webshell,如果包含删除该文件。2、网站允许上传任意文件,但是如果不是指定类型,那么使用unlink删除文件。在删除之前访问上传的php文件,从而执行上传文件中的php代码。服务器获取文件>>>保存上传临时文件>>>重命名移动临时文件。可以看到shell已经被上传,用蚁剑连接。上传一个空内容的jpg文件,上传成功。打开环境,很简单的上传界面。1. 文件上传过程介绍。例如:上传文件代码如下。此为需要上传的文件内容。利用条件竞争文件上传
【愚公系列】2023年06月 攻防世界-Web(wzsc_文件上传
时光隧道
06-17 6015
文件上传漏洞(File Upload Vulnerability)是指攻击者通过某种方式绕过应用程序上传文件的安全检测机制,将恶意文件或脚本上传至目标服务器,达到执行任意恶意代码的目的。攻击者可以通过此漏洞窃取、篡改、删除或破坏网站数据,或对受害者发起其他形式的攻击。文件上传漏洞可能出现在各种类型的Web应用程序中,包括电子商务、CMS、论坛、博客、社交网络和在线媒体等。攻击者通常会利用Web应用程序提供的文件上传功能,来上传恶意文件。
攻防世界 文件上传
2403_87533599的博客
02-07 1006
今天的题大概提一下解题思路就好了这里要使用php://filter 在此基础上因为网页过滤了一些关键字 我们要进行爆破就得到了cyberpeace{d85dfd5b23264ede9fc8e1f9bc93a382}
CTF-WEB篇 攻防世界题目实战解析easyupload
2301_76565920的博客
04-23 2430
题目:easyupload 难度:1知识点:上传漏洞,服务器防护绕过,后门,.user.ini,auto_prepend_file的使用
攻防世界easy_web之SSTI注入
m0_66935689的博客
07-29 435
昨天不是放假了嘛想着做几道题的刚好碰到个文件上传的条件竞争整半天头都整大了,网上搜了一下文章质量都参差不齐像我这种菜狗根本看不懂没办法花了两个金币看官方的writeup但还没研究明白就想着做一下其它题把那两个金币挣回来就刚好碰到这玩意。str = '''{{a.__init__.__globals__.__builtins__.eval("__import__('os').popen('ls').read()")}}''' # 原字符串。随便试了一下确定了这玩意会把我们输入的参数当作html解析。
攻防世界 web高手进阶区 9分题 smarty
闵行小鱼塘
10-17 3493
继续ctf的旅程,开始攻防世界web高手进阶区的9分题,本文是smarty的writeup
攻防世界php2解析流程
m0_60642470的博客
07-09 766
PHPphp是服务器脚本语言,在服务器端执行。PHP代码可嵌入HTML(有时往前端代码瞅瞅,说不准有意外之喜哦)。以下是一些PHP文件可能使用的后缀,这些后缀在某些特定情况下可以被使用。PHP脚本通常保存在以“.php”为扩展名的文件中,并且这些文件一般存储在Web服务器的根目录或适当的子目录中,以便通过浏览器访问和执行。以下是一些经典的PHP文件示例名(事无巨细,因地制宜):这些文件名是根据它们的功能命名的,使得代码的组织和维护更为方便。打开题目----找.PHP文件----分析文件
【条件竞争】攻防世界web进阶区 泰山杯 wzsc_文件上传
qq_45608153的博客
08-12 3436
攻防世界web进阶区 泰山杯 wzsc_文件上传
攻防世界-wzsc_文件上传wp-题解
chinese_cabbage0的博客
12-04 686
攻防世界-wzsc_文件上传wp-题解
攻防世界-web-upload
wuh2333的博客
12-13 1657
攻防世界,web,upload,sql注入
攻防世界-web-upload1
wuh2333的博客
05-21 417
攻防世界,upload1
file upload 攻防世界_攻防世界-upload1
weixin_39710991的博客
12-30 186
先打开实验环境实验准备:Firefox浏览器+Burp+蚁剑Burp:用于代理浏览器处理的http信息蚁剑:用于一句话木马的文件连接1.1这里选择后缀名为php的文件,发现浏览器很快就做出反应了,ctrl+u看下网页源代码,(可能是js前端的过滤,因为反应太快了);果然是前端js过滤了,只允许后缀为jpg和png的文件上传;1.2解决办法:先准备好含有一句话木马的php文件,密码为zxc(zxc可...
114,【6】攻防世界 web wzsc_文件上传
2402_87039650的博客
02-06 426
别的博主说这是服务器在短时间内就立刻将其删掉了,需要采取条件竞争,我们需要抢在它删除之前访问文件并生成一句话木马文件,所以访问包的线程需要大于上传包的线程。还需要将攻击荷载设置为空,但找了半天也没找到,也就是说我现在必须设置一个位置为荷载。没显示用于解析的.htaccess和.user.ini 文件,还两个都不显示。最后访问upload就会发现上传成功了,用蚂剑连接即可。假如上一步实现后,运用大佬的脚本创造shell.php。但上传的时候bp查看状态码是200,意味着上传成功了。不过接下来的思路是清晰的。
file upload 攻防世界_攻防世界进阶--upload1
weixin_34945060的博客
02-15 206
今天突然有个小朋友问我这道web题,就打算记录一下(就是来水一篇博客的)考点:文件上传做题:文件上传,基本上就是传送一句话 -> 菜刀(等)连接(题外话:还有服务器等基础文件等等,这一块已经开始扩展了例如:use.ini/.htacess)回归本题:Array.prototype.contains = function (obj) {var i = this.length;while (i-...
攻防世界web进阶upload1
0pt1mus
03-13 918
转自个人博客0pt1mus 打开网站,可以发现只存在一个选择文件框和一个上传按钮。 我们可以考虑直接上传一个一句话木马尝试。 <?php @eval($_POST['shell']);?> 快速弹出警告框,让上传图片文件。猜测是前端js判断。 F12打开控制台,成功发现js代码,右击直接删掉。 重新选择一句话木马,此时发现上传按钮无法点击,在F12的console中将按钮的di...
wzsc_文件上传
m0_70819573的博客
02-18 1239
其原理是在上传时平台不会立刻删除文件,会保留极短的一段时间,利用其间隙访问,就可以创造出php文件。题目本身逻辑很简单,不过黑盒测试真的费脑子,有十多种解法,不过上传图片时回显有提醒。同时用薄荷将两个数据包调整为无负载,并一直持续攻击,注意抓包的线程要比上传包多。文件上传题型有许多解法,这道题使用条件竞争去解决。也可以用python脚本去做,附上大佬的脚本。3.最后用蚁剑连接,获取flag。
攻防世界web进阶区upload详解
hxhxhxhxx的博客
08-13 2524
攻防世界web进阶区upload详解题目②CONV(N,from_base,to_base)③substr(string,start,length) 题目 进入页面是我们的注册 登录以后,发现可以文件上传 传完之后发现有回显,猜测可能是文件名注入 我们先进行一系列得上传测试,发现都不行 这时候,御剑发来了好消息, 这儿有一个include,classes的文件 我们使用burp康康有哪些过滤 发现被制为了空,我们猜一猜是双写绕过 下面解除文件名字注入 1.把文件名改成 a' +(selsele
攻防世界CATCAT
最新发布
03-16
<think>嗯,用户想了解攻防世界的CATCAT这个CTF挑战。首先,我需要回忆一下相关的知识点和解题思路。根据提供的引用,特别是引用3和4,CATCAT涉及到PHP的curl使用@文件路径的特性,还有Django的一些知识,以及如何利用/proc/self/maps和/proc/self/mem来读取内存信息获取flag。 首先,用户可能想知道这个挑战的基本情况,比如题目类型、考察的知识点。根据引用3,这是一个Web安全题,涉及到PHP和Django,所以可能需要结合这两个方面的知识。此外,关键点在于利用curl的@符号来上传文件,这可能涉及到文件包含或者路径处理漏洞。 然后,引用4提到通过读取/proc/self/maps获取内存映射信息,再通过start和end参数读取mem的内容,从而利用正则表达式匹配flag。这说明题目中存在任意文件读取漏洞,或者内存泄露的问题。需要解释这些步骤的具体操作,比如如何构造请求来获取maps和mem的数据,如何解析这些数据找到flag的位置。 用户可能还需要解题步骤的详细说明,比如如何利用curl的@特性,如何结合Django的路由或视图函数来触发漏洞。同时,内存映射信息中的app.py部分可能指向了关键的内存区域,进而通过传递正确的start和end参数来提取内存中的敏感数据。 另外,相关的知识点可能需要进一步展开,比如PHP中curl的@用法,Django处理请求的过程,以及Linux中/proc文件系统的作用,特别是/proc/self/maps和mem文件的结构和访问方法。还要注意正则表达式如何匹配flag格式,通常是类似\w+{\w+}这样的模式。 用户可能还会关心如何防御这类漏洞,比如在Django中如何安全处理用户输入,避免任意文件读取,或者限制对系统文件的访问。同时,PHP中curl的安全配置,防止用户通过@上传恶意文件路径。 总结来说,回答需要涵盖挑战的概述、涉及的技术点、解题思路、关键步骤,以及相关的防御措施。同时,生成的问题需要引导用户深入理解每个环节,比如如何利用/proc文件、如何分析内存数据等。</think># 攻防世界 CATCAT CTF 挑战解析 ## 1. 挑战概述 CATCAT 是攻防世界中的 Web 安全类 CTF 题目,主要考察文件操作漏洞、内存信息泄露和正则表达式匹配能力。题目环境基于 Flask 框架构建,涉及 `PHP curl` 的 `@` 文件路径特性[^3],以及通过 `/proc/self/maps` 读取内存映射信息的技巧[^4]。 ## 2. 核心知识点 ### 2.1 PHP curl 文件路径特性 - 使用 `@` 符号可直接指定本地文件路径上传文件 - 例如 `@/etc/passwd` 会读取服务器本地的 passwd 文件 ### 2.2 内存信息泄露利用 - `/proc/self/maps` 文件包含当前进程的内存映射信息 - `/proc/self/mem` 是当前进程的内存镜像文件 - 通过这两个文件可定位敏感数据的内存地址范围[^4] $$ \begin{aligned} &\text{内存地址范围表达式} \\ &\text{start_addr-end_addr} \in \text{/proc/self/maps} \end{aligned} $$ ## 3. 解题关键步骤 1. **获取内存映射信息** 构造请求读取 `/proc/self/maps`,定位应用代码段地址: ```python # 示例请求 GET /info?start=0&end=1024 HTTP/1.1 ``` 2. **内存数据提取** 通过参数注入读取 `/proc/self/mem`: ```python # 读取 app.py 的内存区域 GET /info?start=0x555555554000&end=0x555555556000 ``` 3. **正则匹配 Flag** 在内存数据中搜索标准 Flag 格式: ```python re.search(r'\w+{\w+}', mem_data) ``` ## 4. 防御建议 1. 对用户输入的 `start/end` 参数进行严格校验 2. 禁用 `/proc` 文件系统的访问权限 3. 使用 Flask-Session 插件增强会话安全(含防篡改机制)[^2]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值