i春秋-ctf 文件上传

最新推荐文章于 2024-09-26 20:00:11 发布
最新推荐文章于 2024-09-26 20:00:11 发布
阅读量8.1k 收藏 23
点赞数 5
分类专栏: CTF -WEB 学习 文章标签: php apache 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AAAAAAAAAAAA66/article/details/121217024
版权

文章目录


前言

CTF小白,这道题思考了很久,i春秋上现在也没write up,卡了1天了,后面在buuctf找到了题解答。通过这一天让我对文件上传有了更深的理解。

目录

文章目录

一、题目

进入环境。

二、解题步骤

1.我的错误思路

2.​​​​​​正确解题姿势

总结


一道普通的文件上传题,通过一天的思考我得到这类题目的思路总结。

提示:以下是本篇文章正文内容,下面案例可供参考


一、题目


二、解题步骤


1.我的一开始错误思路,如果想直接看正确解法请直接跳过

1.因为之前写过类似的题目,刚上手比较兴奋,草草的按个F12发现没看到啥重要的,直接开始做。

话不多说,直接上传一个php文件。

 

果不其然 寄。

莫慌,我用burp suite改个jpg后缀。

成功。

我立马想到的是用蚁剑去连接。

emm 文件上传到那呢???

查了一下资料,一般在地址后面加个upload。

拿我的蚁剑连接

寄!!!!重新试了几遍,一样。

我一度怀疑是我的蚁剑坏了,所以我在之前的一个题目试了一下,没坏。

好吧,病急乱投医。

啥%00截断,.htaccess,图片木马啥都给我试一遍。。。

结果可想而知。。。。。

。。。。

后面我开始总结,思考(网上暂时没找到write up 只能自己想),并且深入的去想题目下面的代码(没错下面有后端php验证的源码,我中间才看到的。)

<?php
header("Content-Type:text/html; charset=utf-8");
// 每5分钟会清除一次目录下上传的文件
require_once('pclzip.lib.php');

if(!$_FILES){

        echo '

<!DOCTYPE html>
<html lang="zh">
<head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <meta http-equiv="X-UA-Compatible" content="ie=edge" />
    <title>文件上传章节练习题</title>
    <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/bootstrap@3.3.7/dist/css/bootstrap.min.css" integrity="sha384-BVYiiSIFeK1dGmJRAkycuHAHRg32OmUcww7on3RYdg4Va+PmSTsz/K68vbdEjh4u" crossorigin="anonymous">
    <style type="text/css">
        .login-box{
            margin-top: 100px;
            height: 500px;
            border: 1px solid #000;
        }
        body{
            background: white;
        }
        .btn1{
            width: 200px;
        }
        .d1{
            display: block;
            height: 400px;
        }
    </style>
</head>
<body>
    <div class="container">
        <div class="login-box col-md-12">
        <form class="form-horizontal" method="post" enctype="multipart/form-data" >
            <h1>文件上传章节练习题</h1>
            <hr />
            <div class="form-group">
                <label class="col-sm-2 control-label">选择文件:</label>
                <div class="input-group col-sm-10">
                    <div >
                    <label for="">
                        <input type="file" name="file" />
                    </label>
                    </div>
                </div>
            </div>
                
        <div class="col-sm-8  text-right">
            <input type="submit" class="btn btn-success text-right btn1" />
        </div>
        </form>
        </div>
    </div>
</body>
</html>
';

    show_source(__FILE__);
}else{
    $file = $_FILES['file'];

    if(!$file){
        exit("请勿上传空文件");
    }
    $name = $file['name'];

    $dir = 'upload/';
    $ext = strtolower(substr(strrchr($name, '.'), 1));
    $path = $dir.$name;

    function check_dir($dir){
        $handle = opendir($dir);
        while(($f = readdir($handle)) !== false){
            if(!in_array($f, array('.', '..'))){
                if(is_dir($dir.$f)){
                    check_dir($dir.$f.'/');
                 }else{
                    $ext = strtolower(substr(strrchr($f, '.'), 1));
                    if(!in_array($ext, array('jpg', 'gif', 'png'))){
                        unlink($dir.$f);
                    }
                }
            
            }
        }
    }

    if(!is_dir($dir)){
        mkdir($dir);
    }

    $temp_dir = $dir.md5(time(). rand(1000,9999));
    if(!is_dir($temp_dir)){
        mkdir($temp_dir);
    }

    if(in_array($ext, array('zip', 'jpg', 'gif', 'png'))){
        if($ext == 'zip'){
            $archive = new PclZip($file['tmp_name']);
            foreach($archive->listContent() as $value){
                $filename = $value["filename"];
                if(preg_match('/\.php$/', $filename)){
                     exit("压缩包内不允许含有php文件!");
                 }
            }
            if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
                check_dir($dir);
                   exit("解压失败");
            }

            check_dir($dir);
            exit('上传成功!');
        }else{
            move_uploaded_file($file['tmp_name'], $temp_dir.'/'.$file['name']);
            check_dir($dir);
            exit('上传成功!');
        }
    }else{
        exit('仅允许上传zip、jpg、gif、png文件!');
    }
}

反思:

1.盲目的使用前端绕过,上传图片木马后,图片未解析就用蚁剑连接。

2.没有细心的理解源码

3. 上传的任何脚本,都必须要被服务器解析才能运行。


2.正确解题姿势

阅读源码可得:

1.后端执行的是白名单过滤,仅允许上传zip、jpg、gif、png后缀的文件。

2.上传后的文件放在upload路径下,rand函数加hash随机命名

3.对于zip文件,如果解压后,文件夹中含有php文件,就将其移除。

结合之前进入文件目录后,发现服务器是APACHE,这里可以使用apache天生的解析漏洞

如果遇到无法解析的后缀名会向前解析.

例: 123.php.abc 先解析abc,无法解析后解析PHP。

这样就成功绕过了zip解压后的文件验证。

步骤如下

1.在文件夹中创立一个php小马 <?php @eval($_POST['hack']);?

2.命名为 111111111111111111   没有错(18个一,后面说原因)

3.压缩为zip文件

4打开010editor(没下的点击看教程下载)在这里打开zip文件。

5.将111111111111111111改为../../hack.php.abc (18个1是我这个文件名要修改的长度,可以根据自己要创立的文件名长度自行修改( 比如../../shell.php.abc  就写19个1))(../../是为了上传到根目录)

6.上传

  

7.进入上传路径,获得flag


总结

还是要多懂得一些原理,容易解答题目,不然容易盲目寻求方式,这里我一直卡在前端验证的思路上,根本没有仔细看源码。

作者水平有限,有任何不当之处欢迎指正。

本文目的是为了传播web安全原理知识,提高相关人员的安全意识,任何利用本文提到的技术与工具造成的违法行为,后果自负!

AAAAAAAAAAAA66
关注
专栏目录
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
杨秀璋的专栏
04-10 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可能利用此漏洞远程无需用户验证,执行恶意代码并获取机器的完全控制。本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。由于hack the box速度堪忧,作者选择了Vulnhub靶场,希望深入分析来
网络安全CTF系列培训教程之Web篇-文件上传漏洞
ctfayang的博客
07-30 1139
大多数的文件上传漏洞被利用后,攻击者都会留下webshell以方便后续进入系统。攻击者在受影响系统放置或者插入webshell后,可通过该webshell更轻松,更隐蔽的在服务器中为所欲为。这里需要特别说明的是上传漏洞的利用经常会使用webshell,而webshell的植入远不止文件上传这一种方式。(例如还可以通过其他命令执行,数据库插入等方式植入webshell)
i春秋 web“百度杯”CTF比赛 九月场-Upload & code
ChanCherry的博客
10-13 1029
“百度杯”CTF比赛 九月场Upload 可以上传文件,并且上传之后可以点击源码链接打开文件,上传了这几句话: <?php @eval($POST["code"]); ?> 结果发现<?php被过滤了,于是用php脚本标记来绕过过滤: <script language="PHP"> $fh=fopen("../flag.".strtolower("PHP"),'r...
探索CTF竞赛的宝藏:i春秋CTF大本营200+道题目答案解析
最新发布
gitblog_06608的博客
09-26 947
探索CTF竞赛的宝藏:i春秋CTF大本营200+道题目答案解析 【下载地址】i春秋CTF大本营竞赛训练营200道题目答案 本仓库提供了i春秋CTF大本营竞赛训练营中200+道题目的答案。这些题目涵盖了冬令营白帽黑客专项训练赛之春秋杯等国内优质的安全知识在线学习平台。通过这些题目,学习者可以在完全贴近实际环境的实验平台上,...
文件上传】01ctfer 文件上传获取flag
wj33333的博客
11-16 641
01ctfer 文件上传获取flag
ctf文件上传
Zheng_Jay的博客
11-15 4232
客户端校验 最简单的文件校验是本地js校验,一般都是要求只能上传jpg,png,gif图片格式: 应对措施:在本地禁用js。 服务端校验 服务端校验比较棘手一点。 MIME类型校验 虽然我们在客户端同过禁用js上传了文件,但服务端还会再对文件类型进行校验,并且校验的是MIME。 我们在开发者工具中,虽然看到文件发送成功: 但如果服务端对我们请求的数据中的MIME类型进行校验,发现并非image类型,仍会丢弃。 所以,我们要修改请求包中的MIME类型(使用burp suit),常见的MIME类型:
i春秋ctf练习
sparename的博客
04-24 3988
类型:Misc 题目名称:签到题 类型:Misc 题目名称:所以这是13点吗 类型:Misc 题目名称:嘀嘀嘀 类型:Misc 题目名称:山岚 类型:Misc 题目名称:签到题2 类型:Misc 题目名称:XX 类型:Misc 题目名称:贝丝家族 类型:Misc 题目名称:敲击 类型:Misc 题目名称:签到题3 类型:Misc 题目名称:小常识 类型:Misc 题目名称:回归原始
i春秋CTF Upload
苟有恒,必有三更眠,五更起。
09-05 1266
分析 可以上传任意文件,并且上传之后可以打开文件(源码有链接/u/xx.php),想到上传一段php代码来打开flag.php页面: php&lt;?php echo 'here_is_flag'; 'flag{47f996fc-4d6c-43e5-af3e-38022f1ba7a3}';xxxxxxxxxx &lt;?phpecho 'here_is...
CTF文件上传
博客
07-25 811
练习平台 GitHub - c0ny1/upload-labs: 一个想帮你总结所有类型的上传漏洞的靶场 https://github.com/c0ny1/upload-labs 参考链接 Upload-labs文件上传(11-19) - tdcoming’blog QQ group 906755997 - CSDN博客 https://blog.csdn.net/qq_29647709/...
CTF-文件上传
weixin_44770698的博客
12-18 352
CTF练习
暑期web10:基础的文件上传upload(i春秋)、上传绕过(实验吧)
qq_41618162的博客
08-18 2799
介于之前做了个包括文件上传步骤的题,突然想拿两个之前做过的文件上传题来回顾一下一些基础做法 首先是实验吧的上传绕过 首先我们上传最基础的一句话木马:&amp;lt;?php @eval($_POST['pass']);?&amp;gt; 反馈是‘不被允许的文件类型,仅支持上传jpg,gif,png后缀的文件’ 于是我把他的后缀改为.jpg再上传,又回显‘必须上传后缀名为php的文件才行’ 做成php...
WEB漏洞-文件操作
weixin_46544151的博客
04-26 2081
目录 31、文件操作之文件包含漏洞全解 一、本地文件包含代码测试——原理 1.无限制包含漏洞文件 ​2.有限制文件包含漏洞 二、远程文件包含代码测试——原理 1.无限制 2.有限制 三、各种协议流提交流测试-协议 四、某CMS程序文件包含利用-黑盒(ekucms) 五、CTF-南邮大学,i春秋百度杯真题-白盒 1.南邮CTF 2.i春秋-CTF 31、文件操作之文件包含漏洞全解 一、本地文件包含代码测试——原理 1.无限制包含漏洞文件 在phpstudy根目录下创建inc
第一次CTF【后台登录、简单的sql注入之、简单的sql注入之2、猫抓老鼠、i春秋 文件上传
weixin_44722125的博客
05-14 2768
后台登录 http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php 根据md5($password,true)最后要得到原始二进制字符串,要含有or ,在or的两边要有单引号,使它变成password=‘xxx’ or 'xxx’的形式,那么可以根据32位16进制的字符串来查找‘or’对应的16进制是276f7227,所以我们的目标就是要找一个字符串取3...
i春秋-CTF-web文件上传
在Web和Reverse坑里游泳中。。。。
04-27 1859
前言 本来吧,悄悄摸鱼,想整点啥打发时间,看视频太明显,于是做做题,眉头紧锁,仔细思考,装作工作很难的样子。 这回选择web类型的题目,主要是好久没做了,手有点生,找个简单的文件上传练练。 打开题目环境发现: 好像是没有什么特别的。 但是往下翻看却是别有洞天。 众所周知,php是后端语言,正常情况下前端是看不到的,也就是说,出题人还是很贴心的(虽然我觉得出题人没那么好心)。 <?php header("Content-Type:text/html; charset=utf.
CTF文件上传(知识点+例题)(1)
qq_53099119的博客
03-23 5954
有的站点会出现仅进行了前端校验的情况(一切在前端做的安全防护,都是耍流氓),由于前端页面的源码是我们可以随意更改的,因此可以通过找到进行过滤的指令,更改成我们想要的功能即可。假设接下来就可以上传一个名为1.png的木马文件,植入后门,将其上传后,该文件虽文件后缀名为png,但会被当作php类型的文件进行解析,其中的一句话木马也能够被正常执行。因此,通过使用.user.ini,我们可以任意指定包含一个文件,这个文件可以是我们自己上传的木马文件,从而通过该木马文件提供后门来获取当前服务器的webshell。
CTF学习记录 i春秋 《从0到1:CTFer成长之路》文件上传
mastergu2的博客
10-21 4257
21.10.19 第二次开始学习CTF 感觉很有收获 至少有让自己忙起来了的感觉 感觉有一些学习状态了 打算重新记录一下学习笔记!加油 我会坚持下去的! 题目代码 首先附上题目的代码段(不完整) show_source(__FILE__); }else{ $file = $_FILES['file']; if(!$file){ exit("请勿上传空文件"); } $name = $file['name']; $dir = 'upload/
i春秋-CTF
爆破胡同的博客
01-19 3331
VID 查看网页源代码发现有个文件路径 访问的看到了有三个参数用get方式提交 在url后提三个参数和对应的值就看到了一个1chunqiu.zip 访问就可以下载文件 这里需要进行代码审计 先看log.php界面if(isset($_POST['username']) && isset($_POST['password']) && isset($_POST['numb
CTF-Hub-文件上传
qq_60905276的博客
11-22 513
1.00截断 00截断通常用来绕过web软waf的白名单限制。 条件:php版本小于5.3.29 2.双写后缀绕过 用于只将文件后缀名,例如"php"字符串过滤的场合; 例如:上传时将Burpsuite截获的数据包中文件名【evil.php】改为【evil.pphphp】,那么过滤了第一个"php"字符串"后,开头的'p'和结尾的'hp'就组合又形成了【php】。 不过为什么老是报错呢? ...
小白的CTF之路之文件上传(三)
glass_york的博客
01-14 400
文件上传
Ubuntu-CTF
07-28
CTFd是一个用于举办和参加CTF(Capture The Flag)安全竞赛的平台。根据引用\[1\]和引用\[2\]的内容,你可以按照以下步骤在Ubuntu上搭建CTFd平台: 1. 首先,确保你已经安装了虚拟机并配置好了Ubuntu系统。具体的安装和配置步骤可以参考相关的教程。 2. 配置阿里云镜像下载源文件。这可以加快软件包的下载速度。你可以按照引用\[1\]中的指导进行配置。 3. 进入CTFd目录。在终端中使用cd命令进入CTFd的目录。 4. 使用gunicorn工具配置CTFd。根据引用\[2\]和引用\[3\]的内容,你可以使用以下命令配置gunicorn工具: ``` gunicorn --bind 0.0.0.0:8000 -w 5 "CTFd:create_app()" ``` 5. 如果你希望在重启电脑后再次运行CTFd平台,确保以root权限运行。在Ubuntu终端中使用sudo命令运行上述命令。 这样,你就可以在Ubuntu上成功搭建CTFd平台了。请注意,这只是一个简单的搭建过程,具体的配置和使用方法可能会有所不同,你可以参考相关的文档和教程进行更详细的了解和操作。 #### 引用[.reference_title] - *1* *2* *3* [基于Ubuntu搭建CTFd平台(全网最全)](https://blog.csdn.net/qq_25953411/article/details/127489944)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值