网络攻防安全学习平台-上传关3

已于 2022-04-20 11:37:37 修改
阅读量2k 收藏
点赞数
文章标签: unctf
于 2022-04-20 11:34:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XL5L7/article/details/124293502
版权
本文介绍了如何在火狐浏览器中利用Burpsuite工具,通过修改文件后缀名和利用前端逻辑判断漏洞,成功上传包含一句话木马的文件并获取到Key的过程。关键步骤包括文件的准备、Burpsuite的设置、前端验证的绕过以及正确提交答案的注意事项。
摘要由CSDN通过智能技术生成

注:本人使用的是火狐浏览器,下面会用到软件burpsuite
链接:http://hackinglab.cn/ShowQues.php?type=upload

进入通关地址后我们查看页面源代码
在这里插入图片描述

代码中第八行中的语句语义为:将文件的名字以“ . ”进行分割存放在一个数组中。第9行中是用数组中的第二个进行判断,用来执行下面的函数。 一般的网页是不会显示此代码的,由此代码可知题中的逻辑判断不是由后台判断的,是前端直接进行判断。
我们先在桌面新建一个txt文件写一个一句话木马
在这里插入图片描述
然后将文件后缀名改成.jpg
打开burpsuite软件,将火狐浏览器的网络设置改成手动配置代理
在这里插入图片描述
上传文件选择我们刚刚写好的一句话木马
在这里插入图片描述
点击上传后查看burpsuite,会在软件中得到此代码,这时我们已经通过了前端对文件的认证,将上传的文件命名为:文件名.jpg.txt(中间是有点的)
然后点击forward放包
在这里插入图片描述
即可得到key
key is 76tyuh12OKKytig#$%^&
注意:1.提交答案时要把浏览器的网络设置改成使用系统配置代理
在这里插入图片描述
2.如果显示回答错误,则可能是因为答案前面有空格,记得把空格删除后提交。
在这里插入图片描述
关于一句话木马,该文章有详细说明https://bbs.ichunqiu.com/thread-26365-1-1.html

一只聪明的小羊
关注
网络信息安全攻防学习平台-上传
crazyyangrong的博客
11-02 1133
网络信息安全攻防学习平台-上传 第一题 注:本人使用的是火狐浏览器,下面会用到软件burpsuite 链接:【http://hackinglab.cn/ShowQues.php?type=upload】 点击通地址 方法一: 以下是网页源代码(在此页面中点击鼠标右键中选择查看页面源代码): <html> <head> <meta http-equiv=C...
网络信息安全攻防学习平台--上传1
XL5L7的博客
03-14 345
网络信息安全攻防学习平台--上传1打开通地址用记事本写一句话木马上传文件得到答案 打开通地址 用记事本写一句话木马 <?php @eval($_POST[''123']);?> 并把文件格式改成 jpg 上传文件 选择刚写好的木马 如图所示 先不上传,更改浏览器的网络设置 再打开BurpSuiteCommunity,然后点击上传 把 jpg改成php,然后放包(放包点击 forward) 得到答案 IKHJL9786#$%^& 得到答案之后记得把浏览器的网络设置改回再
网络安全学习平台top10_网络安全训练平台
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
07-19 724
8.网络信息安全攻防学习平台:http://hackinglab.cn/index.php9.XCTF_OJ 练习平台:https://adworld.xctf.org.cn/CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》文末免费下载🎁。
CTF-网络信息安全攻防学习平台(上传)
alert['Hello World']
07-29 791
上传第一第二第三关 题库地址:http://hackinglab.cn 第一 题目:         请上传一张jpg格式的图片         分值: 100         只能上传jpg格式的图片哦~! 解题方法: 进入题目,查看页面源代码 上传的时
网络黑客攻防学习平台之基础第三题
baigoocn的专栏
05-20 1363
网络黑客攻防学习平台之基础第三题
网络安全攻防在线学习平台总结
qq_42092076的博客
03-24 2480
1.合天网安实验室 2.实验楼 3.网络信息安全攻防学习平台 4.来晨科技 5.i春秋
网络安全基础与网络攻防思维在HCIA-RS_HCIA Datacom中的应用
网络攻击和数据泄露等安全事件频频发生,给个人隐私、企业数据和国家安全带来了严重威胁。 为了提高网络安全防御的能力和水平,IT从业人员需要具备相的技术和知识。其中,HCIA-RS_HCIA Datacom是一项重要的职业...
迪普科技“攻防实验室”助力贵州移动培养网络安全人才 (1).pdf
09-20
首先,从提供的文档中可以看出,迪普科技的“攻防实验室”是专注于网络安全实战培训的平台。该实验室通过模拟真实的网络安全场景,为安全运维人员提供了从初级到高级的系统培训。初级课程涉及网络、系统和应用中常见...
安全防护」我的一键 getshell 代码开发之路 - 攻防靶场.zip
11-27
在网络安全领域,getshell 是一个常见且重要的概念,特别是在web安全、移动安全以及开发安全的讨论中。Getshell 指的是攻击者通过利用网站或应用程序的漏洞,成功获取到服务器的命令执行权限,能够控制目标系统,...
网络安全作业-by cumt梅苑杀手.docx
08-08
这些是网络攻防中常见的安全问题,了解并掌握它们对于保护信息系统至重要。 1. SQL注入(SQLi): SQL注入是一种利用应用程序对用户输入的数据处理不当,向数据库执行恶意SQL命令的安全威胁。sqli-labs提供的...
网络信息安全攻防平台—基础题第三题
qq_53175607的博客
03-16 471
网络信息安全攻防平台-----基础题第三题 猜猜这是经过了多少次加密? 这是一道解密题,目测是base64编码,编码最后面是=号,应该是一道base64解密题. 我们可以在浏览器中搜base64编码解码工具,网络上有一大堆,但是效率太慢了,所以我们可以用python写个脚本解码(其它语言也可以), 代码如下: import base64 a=0 s='base64编码内容' try: while True: s=base64.standard_b64decode(s) a=a+1 except:
网络信息安全攻防学习平台基础
qq_43352013的博客
03-21 443
网络信息安全攻防学习平台 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 提示:以下是本篇文章正文内容,下面案例可供参考 网络信息安全攻防学习平台基础 第七题:key究竟在哪里呢? 上一次小明同学轻松找到了key,感觉这么简单的题目多无聊,于是有了找key的加强版,那么key这次会藏在哪里呢? 解题 我们先进入通地址查看 通地址 如下图: 查看源码 现在用Fire Fox 插件 Tamper Data进行抓包(结尾有插件下载链接) 抓到然后直接原样发出去 key就在抓包的r
2024最新最全网络安全资料分享
资深程序员,曾自学JAVA,C#,如今从业于网安行业
07-17 331
众所周知,为了能够有效地应对黑客袭击,保障网络安全,国家大大加强了对网安方面人才建设的培养。网络安全岗位的薪酬非常高,相证书的补贴也很多,因此学习网络安全、转行网络安全的人可谓是“蜂拥而至”。网络安全不缺人,但缺人才。很多对网络安全感兴趣的朋友,总是在寻找适合0基础的学习资源,今天就给大家分享一下近期我整理的网络安全学习资料。护网行动全套培训资料100份src挖掘技术文档云原生实战专注Kubernetes、Docker、DevOps、微服务等云原生技术干货、案例、福利、资讯等。
hackinglab上传第一题
weixin_30684743的博客
04-07 130
上传一张jpg格式的图片 分值: 100 只能上传jpg格式的图片哦~! 通地址 看源码,js做的文件后缀验证,极端不安全。由于我没有开brupsuit,所以将源代码复制到本地,新建一个html,内容如下: <html> <head> <meta http-equiv=Content-Type content="text/html...
hackinglab上传第二题
weixin_30432007的博客
04-07 229
上传一张jpg格式的图片 分值: 150 只能是jpg哦! 通地址 本题去除了js限制,改为通过Content-Type判断,先上传一个php文件,火狐按f12看到请求体,点击编辑并重发: 改成这样之后点击发送,在响应里面就能看到flag了 转载于:https://www.cnblogs.com/Kog-Maw/p/8734060.html...
hackinglab-上传1——请上传一张jpg格式的图片1
Ifish的博客
07-31 1382
上传一张jpg格式的图片1 题目描述 解题思路 查看源码,意思是检测上传文件名的最后一个字符串是不是jpg,所以把文件名改为test.php.jpg即可绕过,抓包改成test.php即可 ...
hackinglab上传
Yale的博客
04-07 2430
上传 1.请上传一张jpg格式的图片 查看源代码,有个upload_file.php   点进去就出来key了     2.请上传一张jpg格式的图片 Burp抓包后将jpg随便改为什么,key就出来了   3.请上传一张jpg格式的图片 这里的源码的作用是分割文件名并验证后一部分 所有构造xxx.jpg.txt就可以了
hackinglab-上传2——请上传一张jpg格式的图片2
Ifish的博客
07-31 913
上传一张jpg格式的图片2 题目描述 解题思路 查看源码,意思是检测上传文件名的第一个.后的字符串是不是jpg,所以把文件名改为test.jpg.php即可绕过,抓包改成test.php即可 ...
[hackinglab][CTF][上传][2020] hackinglab 上传 writeup
dadongwudi的博客
01-17 233
上传 1 请上传一张jpg格式的图片 键字: 步骤: 1.F12查看源码 2.输入网址 获得key http://lab1.xseclab.com/upload1_a4daf6890f1166fd88f386f098b182af/upload_file.php 上传 2 键字:burp 知识点: 步骤:看源码 抓包 改后缀 IKHJL9786#$%^& 上传 3 键字: 知识点: 步骤:看源码 抓包 改后缀 ...
网络安全攻防实例与必备知识详解
3. **网络安全技术**:包括防火墙、入侵检测系统(IDS/IPS)、加密和认证方法等,这些都是防御网络攻击的基础。 4. **网络命令与工具**:了解和熟练使用DOS或其他系统命令,如在案例中提到的netuse、netsvc等,能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值