网络安全实验室--上传关

最新推荐文章于 2023-02-10 15:05:41 发布
最新推荐文章于 2023-02-10 15:05:41 发布
阅读量1.2k 收藏 1
点赞数 1
文章标签: html web 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Osumail/article/details/105966257
版权


title: 网络安全实验室–上传关

关注我的博客,访问更多内容!

基础关题目地址
网络安全实验室之上传关,题目略少,也很基础,如有错误,欢迎在评论中指出。

1.请上传一张jpg格式的图片

只能上传jpg格式的图片哦~!
(过关地址)
解:上传一张jpg图片,被嘲讽了没有得到flag,想到实际应上传php文件,应该想到上传jpg文件然后修改请求报文里的相关内容,先bp抓包,发送到repeater,修改filename后的后缀名,将jpg改为php,点击go,得到flag。
ps:还有一种方法,通过查看页面源代码,发现是前端JS控制的,直接利用NoScript插件禁用JS功能,然后上传php文件,得到flag。
在这里插入图片描述

key is IKHJL9786#$%^&

2.请上传一张jpg格式的图片

只能是jpg哦!
(过关地址)
解:上传一张jpg文件,提示信息和上道题类似,解决方法也相同,先上传一张jpg文件然后bp抓包发送到repeater,修改filename里的后缀,将jpg改为php,得到flag。
key is 76tyuhjsdvytig#$%^&

3.请上传一张jpg格式的图片

只能是jpg哦!
(过关地址)
解:上传一张jpg文件,依然是相似提示,但是按照前两题的解题做法依然得不到flag,查看页面源代码,发现要求文件名第一个"."后面为jpg就可以,试一下更改filename的后缀名,将jpg改称jpg.php,得到flag。
在这里插入图片描述
修改filename后缀
key is jkljdkl232jkljkdl2389

欢迎一起讨论!

Osumail
关注
网络安全实验室上传
Lorezon的博客
03-16 413
第一题 根据题目,只能上传jpg格式的图片。可以修改后缀名达到上传效果。Burp抓包。 将此处.jpg后缀去掉,留下.php,浏览器就会默认这是一个jpg文件 第二原理和第一是一样的,抓包改后缀就可以。 第三发现抓包不管用了,查看源码: 从这个JS代码能看出上传文件以符号".“来分割,也就是第一个”."后面是什么后缀浏览器就把它当作什么文件。 把两个后缀名调换位置就可以直接上传。 ...
网络安全实验室(基础刷题)-WP
luoluopeach
12-18 5054
网络安全实验室-基础-WP【by:luoluo】 1.key在哪里? 答案在源代码里 查看源代码的三种方式:直接右键检查/查看源代码、使用开发者工具、command/control+U flag:jflsjklejflkdsjfklds 2.再加密一次你就得到key啦~ 加密之后的数据为xrlvf23xfqwsxsqf 使用Rot13编码可以得到flag 我看到其他博主的wp中,有人使用凯撒...
网络安全实验室5.上传
最新发布
若把此心以学道,即身成佛有何难
02-10 476
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
网络安全实验室----上传
Red Rapefruit
08-02 159
网络安全实验室上传
网络安全实验室_上传writeup
a173262565的博客
03-22 274
上传一张jpg格式的图片 先传个图片码试试 我肯定乖嘛(#`Д´)ノ 气到改后缀 请上传一张jpg格式的图片 我猜是00截断,不信来试试 先在赋值1.php .jpg,接着去hex中找到空格改成00就成了 请上传一张jpg格式的图片 名字跟前面一样,试试截断果然不行了,看看源码竟然还发现给出了代码 1 function ...
网络安全实验室-上传1-3
hzxtjx的博客
07-12 1015
上传一张jpg的图片 发现。。。。。。 所以应该是要bp改变文件格式 先随便上传一个jpg文件(不需要一句话木马,普通的jpg就行),抓包 将jpg改为php forword或放包就行了 F12-打开设置-禁用JavaScript 上传php文件也可以和第一题bp方法操作一模一样试了试前两题的方法,没用了 F12查看上传按钮的点击事件 将名字以 . 分割放在str数组里面 再判断str[1]是不是jpg 所以加一个在结尾加一个.php就行了 str[0]是名字,str[1]jpg,str[2]ph
网络安全实验室 综合 解析
wh1te 小白的博客
11-08 2559
网站地址:http://hackinglab.cn/ShowQues.php?type=pentest  第一 渗透测试第一期 先看看 登录界面 发现可以注册和忘记密码 (忘记密码可以重置密码) 思路如下,重置admin密码 发现 不能直接重置密码 查看注册界面  注册完以后 需要绑定手机号码 抓包看一下  上传参数有用户名  尝试修改为admin 绑定成功 再次尝试重置...
迪普科技“攻防实验室”助力贵州移动培养网络安全人才 (1).pdf
09-20
迪普科技“攻防实验室”的实践与研究,为我们提供了实证分析和理论支持,有助于理解网络安全领域的最新动态和技术应用。 首先,从提供的文档中可以看出,迪普科技的“攻防实验室”是专注于网络安全实战培训的平台。...
实验室数据集-数据集
03-04
"实验室数据集-数据集"这个标题暗示了我们正在处理一个用于实验或研究目的的数据集合,可能包含了各种类型的信息,例如图像、数值或者文本数据。在这样的数据集中,研究人员可以进行各种分析、模型训练或算法验证。 ...
电信设备-一种农产品质量安全监测移动实验室.zip
09-19
通过4G/5G网络,移动实验室可以实时将采集到的数据上传至云端服务器。这样,即便实验室在偏远地区,也可以与后台数据中心保持无缝连接,确保数据的及时处理和分析。同时,这样的远程传输功能还能支持专家远程指导,...
网络安全实验室CTF上传 writeup
Senimo
08-02 802
网络安全实验室CTF上传 writeup请上传一张jpg格式的图片1请上传一张jpg格式的图片2请上传一张jpg格式的图片3 网络安全实验室CTF链接 请上传一张jpg格式的图片1 请上传一张jpg格式的图片2 请上传一张jpg格式的图片3 ...
网络信息安全攻防学习平台上传
MVP_com的博客
09-10 1972
游戏地址:http://hackinglab.cn/ShowQues.php?type=upload 网络信息安全攻防 第1题 请上传一张jpg格式的图片说明:此题通过查看其源代码得知,它是通过js对上传文件格式进行限制。并且是客户端验证形式,我们就可以用查看器将验证处代码删除即可。 解法:进入过地址,打开开发人员工具中的查看器找到js验证的那段代码,将验证函数改为true第2题 请上传一张jpg格式的图片说明:
网络安全实验室 上传 解析
wh1te 小白的博客
10-08 588
网站地址:http://hackinglab.cn/ShowQues.php?type=upload 第一 请上传一张jpg格式的图片 上传了一张图片发现 从语气分析  他可能是要上传的不是jpg格式  直接抓包修改后缀名 即可得到key值 第二 请上传一张jpg格式的图片 第二和第一一样 第三 请上传一张jpg格式的图片 发现修改后缀不可以 根据提示只能jpg 尝试...
网络安全实验室--上传解读
qq_43348375的博客
08-23 467
** 网络安全实验室上传解读 ** 第一题: 请上传一张jpg格式的图片 分值:100 只能上传jpg格式的图片哦~! 首先看到这道题,你会注意到最后一行的提示信息“只能上传jpg格式的图片哦~!”这个提示信息说的那么的骚,说明肯定存在问题。 机智的我果断上了burpsuit,直接抓包一探究竟。 正常上传之后发现: 遭到了嘲讽。抓包之后发现: 试着将上传文件的后缀名换成别的发现了ke...
ctf文件上传
Zheng_Jay的博客
11-15 4111
客户端校验 最简单的文件校验是本地js校验,一般都是要求只能上传jpg,png,gif图片格式: 应对措施:在本地禁用js。 服务端校验 服务端校验比较棘手一点。 MIME类型校验 虽然我们在客户端同过禁用js上传了文件,但服务端还会再对文件类型进行校验,并且校验的是MIME。 我们在开发者工具中,虽然看到文件发送成功: 但如果服务端对我们请求的数据中的MIME类型进行校验,发现并非image类型,仍会丢弃。 所以,我们要修改请求包中的MIME类型(使用burp suit),常见的MIME类型:
CTF—文件上传练习
qq_45927819的博客
08-04 2466
Bugku_文件上传2 今天做题的时候发现了这道题尝试了好久才搞出来,记录一下! 方法一 一个欢迎界面 查看源码:在注释中看到了upload.php 访问upload.php: 只能上传jpg gif png格式的文件,且大小不能超过100kib 我们写一句话木马,改后缀为jpg格式: 上传成功了! 访问一下路径:发现php被解析掉了 换一个一句话木马:<script language="php">eval($_REQUEST[ABC])</script> 修改后缀为jpg
CTF-网络信息安全攻防学习平台(上传)
凝聚力安全团队
07-29 789
上传第一第二第三 题库地址:http://hackinglab.cn 第一 题目:         请上传一张jpg格式的图片         分值: 100         只能上传jpg格式的图片哦~! 解题方法: 进入题目,查看页面源代码 上传的时
tomcat temp 大量 upload 文件_渗透测试之文件上传漏洞总结
weixin_39726131的博客
12-05 718
文末下载上传环境源码客户端js检查一般都是在网页上写一段javascript脚本,校验上传文件的后缀名,有白名单形式也有黑名单形式。查看源代码可以看到有如下代码对上传文件类型进行了限制:我们可以看到对上传文件类型进行了限制。绕过方法1.我们直接删除代码中onsubmit事件中于文件上传时验证上传文件的相代码即可。或者可以不加载所有js,还可以将html源码copy一份到本地,然后对相...
网络安全攻防实验室教程-上传
黑面狐
10-22 5258
网络安全实验室地址: 传送门:http://hackinglab.cn 第一题:请上传一张jpg格式的图片 只能上传jpg格式的图片哦~! 查看网页源码,很清楚看到是前端JS控制的,那么直接禁用JavaScript就可以上传php文件了 禁用JS后直接上传php文件获取flag 还可以通过拦截数据包,修改为php文件 第二题:请上传一张JPG格式图
网络版实验室管理系统:实现高效信息管理
实验室作为教育的重要组成部分,其信息管理至重要。当前,许多高校使用的单机版管理系统存在可维护性差、信息封闭和过时等问题。网络版实验室管理系统应运而生,旨在提高数据处理效率,增强信息共享和实时性,减轻...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值