[WUSTCTF2020]CV Maker——简单的开始

最新推荐文章于 2023-09-30 17:19:35 发布
最新推荐文章于 2023-09-30 17:19:35 发布
阅读量1k 收藏 2
点赞数 3
分类专栏: CTF 文件上传 复现 文章标签: 文件上传 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mrs_H/article/details/122511486
版权
CTF 同时被 3 个专栏收录
31 篇文章 1 订阅
订阅专栏
复现
31 篇文章 3 订阅
订阅专栏
文件上传
1 篇文章 0 订阅
订阅专栏

[WUSTCTF2020]CV Maker

一.前言

emm,有关ssrf的题目在这期间做了几道,大部分都是关于redis和fpm的,这些题目中大多数都是直接用现成已经在市面上广为流行的脚本进行攻击的。事实上,并没有过多的参考价值,也就没有写下他们的wp。最近在复习数学,也没有时间打靶场了,拿这道最简单不过的文件上传题目,来开文件上传的坑吧。不知道什么时候能把坑填完。

二.正文

首先,我们拿到这个题目。(这道题的前端不错
在这里插入图片描述
首页就是一个注册的界面,也没有什么东西于是就注册一个账号登进去先看看
ps:这里要说一下,就是我在注册完这个账号的时候,这个注册页面首页上会报一些关于MySQL的错误,不知道是不是环境的问题。但不影响做题。
登陆进去之后,界面如下
在这里插入图片描述
很明显,题目就是要让我们进行文件上传。
我们先写一个最简单的一句话木马进行上传操作。
在这里插入图片描述
我们看到题目给我们返回了一个exif_imagetype not image的错误,所以我们在这里加上一个图片头来绕过这个点。
在这里插入图片描述
这次上传之后我们看到前端页面已经不报错了,所以我们来获取这个文件的位置
我们直接在新页面中打开这个图片,来截取其中的请求包,得到文件的位置。
在这里插入图片描述
然后用蚁剑进行连接
在这里插入图片描述

入山梵行
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python计算机视觉学习————图像内容分类 计算机视觉.pdf
04-21
python计算机视觉学习————图像内容分类 计算机视觉.pdf
[WUSTCTF2020]CV Maker 文件头检查
m0_64180167的博客
09-27 89
就是检查文件头 那我们直接修改文件头上传即可。报错了我们去看看 这个 exif是什么。我们直接随便上传一个看看。很显然是我们文件上传
buuctf-[WUSTCTF2020]CV Maker 文件上传漏洞
最新发布
2202_75317918的博客
09-30 348
其他没有什么页面,只能更换头像上传文件,所以猜测是文件上传漏洞。添加文件头GIF89a。查看页面源代码,看到上传的php的文件。进入到了profile.php。
[WUSTCTF2020]CV Maker1
qq_63169208的博客
08-02 316
好久没遇到这么简单的题了,发一下
[WUSTCTF2020]CV Maker
feng的博客
01-20 1107
知识点 很简单文件上传。 WP 很简单文件上传题,比较好的就是有点像真实的渗透,拿到后台,然后上传文件拿shell。这题唯一对我来说不友好的就是纯英文,英文太差的我做这样的题目,感觉浑身不自在。 进入环境注册个账号,然后登录进去,发现可以更改头像,相当于文件上传文件上传也没什么过滤,直接传就可以了。传过后f12看一下传上去的马的位置: 拿蚁剑连,然后找flag就可以了。 ...
计算机视觉实战系列02——用Python做图像处理
01-27
【导读】在当今互联网蓬勃发展的时代,图像处理技术也随着人们的需求不断进步,专知成员Hui计划推出一系列计算机视觉入门实战讲解,参照Jan ErikSolem编写的《Python计算机视觉编程》这本书,以时下最流行的Python...
计算机视觉实战系列01——用Python做图像处理
01-27
【导读】在当今互联网飞速发展的社会中,数量庞大的图像和视频充斥着我们的生活,让我们需要对图片进行检索、分类等操作时,利用人工手段显然是不现实的,于是,计算机视觉相关技术便应运而生,并且得到了快速的发展...
计算机视觉实战系列03——用Python做图像处理
01-27
本文来自于专知,本文主要详细的对numpy库的操作进行介绍,通过本章节的学习也为之后进行复杂的图像处理打下牢固的基础。【导读】专知成员Hui上一次为大家介绍Matplotlib的使用,包括绘图,绘制点和线,以及图像的...
BUUCTF--[WUSTCTF2020]CV Maker
qq_46263951的博客
07-06 1232
一开始我们看到是一个注册页面,应该没有什么可用的漏洞,注册进去看看 进入之后看到需要我们更改头像,应该是一个文件上传漏洞,当上传一个php文件时出现一个这样的错误 通过查询我们可以了解到该函数是用来检测文件头的,也就是需要我们构造一个文件头为图像类型的php一句话木马 注意:文件头和一句话木马不可放在同一行 GIF89 <?php eval($_POST['123']); ?> 上传成功后我们通过查看网页源码发现图片路径 通过蚁剑连接即可 ...
文件上传&中国菜刀 —— 【WUST-CTF2020CV Maker
Ve99tr’s Blog
03-30 1794
图片马文件上传以及使用中国菜刀连接服务器
WEB-INF/web.xml泄露漏洞及其利用
Mrs_H的博客
08-10 9746
前言 之所以写这篇文章,是因为最近在做题的时候,做到了一个有关java的题目。因为对Java Web方面的开发经验很少,所以在做这道题的时候,查了一些关于Java Web相关的知识。感觉以后说不定还会用到,就以这篇文章来总结一下。 关于WEB-INF/web.xml 在了解WEB-INF/web.xml泄露之前,我们先要知道,web.xml是一个什么样的文件,以及它的泄露会出现哪些问题。 咱们先来看看WEB-INF这个文件夹 WEB-INF主要包含以下内容: /WEB-INF/web.xml:Web应用程
计算机视觉——多尺度模型架构 参考文献
05-13
以下是一些计算机视觉中多尺度模型架构的参考文献: 1. He, K., Zhang, X., Ren, S., & Sun, J. (2016). Deep residual learning for image recognition. In Proceedings of the IEEE conference on computer ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值