2020-11-08

最新推荐文章于 2023-05-28 23:10:13 发布
最新推荐文章于 2023-05-28 23:10:13 发布
阅读量324 收藏
点赞数
分类专栏: CTF Upload 文章标签: 信息安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YIHAHUHA/article/details/109547005
版权
CTF 同时被 2 个专栏收录
12 篇文章 0 订阅
订阅专栏
Upload
2 篇文章 0 订阅
订阅专栏

BUU UPLOAD COURSE

从页面源代码可以知道有一个文件包含的漏洞

<form action="index.php?file=upload.php" method="post" enctype="multipart/form-data">

先上传一个图片马,然后包含图片马试试。
显然图片马被重命名的扩展名也变了。但是不妨碍打开它。
成功

[极客大挑战 2019]Upload

测试时发现可以上传 .phtml文件 和文件内容不能含有 <?

访问 info.phtml

http://2dc69a31-ef8e-4683-8e36-96235b32a56b.node3.buuoj.cn/upload/info.phtml

成功

[SUCTF 2019]CheckIn

测试发现,不能上传有文件扩展名中有ph字符串的文件,可以上传.htaccess文件,但是用到了exif_imagetype()函数来检查文件的格式。因为.htaccess文件格式非常严格,所以也用不了。

.user.ini.与.htaccess

.htaccess
仅能用于apache下,并且内容严格,不能有错误行,如:GIF89a

.user.ini


网上对这个的分析有很多我就不复述了。下面是参考的链接
https://xz.aliyun.com/t/6091#toc-1

利用条件:

1.服务器脚本语言为PHP
2.apache,iis,nginx都可以,只要服务器使用CGI/FastCGI模式
3.上传目录下要有可执行的php文件

上传一个.user.ini,配合 auto_prepend_file 或者 auto_append_file

GIF89a
auto_prepend_file=zjh.jpg

大概意思时:指定一个 zjh.jpg 文件,在执行某个php文件时会先把 zjh.jpg 包含到这个 php文件前面。


再上传图片马 zjh.jpg

只要访问 index.php 脚本就会先把 zjh.jpg 包含进去。
用蚁剑连接成功。

看源码发现用了

正则做 黑名单 。(出题人.htaccess少打了一个 c )
<? 做了检测
exif_imagetype()函数检验图片的正确性

$extension = substr($name, strrpos($name, ".") + 1);
    if (preg_match("/ph|htacess/i", $extension)) {
        die("illegal suffix!");
    }
    if (mb_strpos(file_get_contents($tmp_name), "<?") !== FALSE) {
        die("&lt;? in contents!");
    }
    $image_type = exif_imagetype($tmp_name);
    if (!$image_type) {
        die("exif_imagetype:not image!");
    }

[ACTF2020 新生赛]Upload

JS检验+黑名单漏洞

前端有一个checkFile()的JS函数检验上传文件的扩展名,修改一下绕过。
burp suite黑盒发现可以上传 .phtml 文件。
直接上传图片马,burp suite 抓包改后缀为 .phtml ,成功。

看源码

$file_name = $_FILES['upload_file']['name'];
$ext = pathinfo($file_name,PATHINFO_EXTENSION);
if(in_array($ext, ['php', 'php3', 'php4', 'php5'])) {
	exit('nonono~ Bad file!');
}

显然就是黑名单不全面。

[GXYCTF2019]BabyUpload

考点:

content-type检验
<? 的检验
.htaccess配置文件的上传

看源码:

if(preg_match("/ph/i", strtolower($uploaded_ext))){
        die("后缀名不能有ph!");
    }
    else{
        if ((($_FILES["uploaded"]["type"] == "
            ") || ($_FILES["uploaded"]["type"] == "image/jpeg") || ($_FILES["uploaded"]["type"] == "image/pjpeg")) && ($_FILES["uploaded"]["size"] < 2048)){
            $content = file_get_contents($uploaded_tmp);
            if(preg_match("/\<\?/i", $content)){
                die("诶,别蒙我啊,这标志明显还是php啊");
            }
            else{
                mkdir(iconv("UTF-8", "GBK", $target_path), 0777, true);
                move_uploaded_file($uploaded_tmp, $t_path);
                echo "{$t_path} succesfully uploaded!";
            }
        }
        else{
            die("上传类型也太露骨了吧!");
        }
    }

正则匹配了 后缀名(不能包含 ph )、文件内容不能有 <?content-type 检验

[MRCTF2020]你传你🐎呢

上传 .htaccess 配置文件
上传图片马

H G
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ffmpeg 4.3.1 2020-11-08 Windows x86 64位免安装
05-26
FFmpeg是领先的多媒体框架,能够解码,编码,转码,mux, demux,流,过滤和播放几乎任何人类和机器创造的东西。它支持从最晦涩的古老格式到最先进的格式。不管它们是由某个标准委员会、社区还是公司设计的。...
文件包含漏洞 基础
weixin_50464560的博客
03-21 887
CTF中文件包含漏洞总结 0x01 什么是文件包含漏洞 通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入。 0x02 文件包含漏洞的环境要求 allow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者网站检索数据allow_...
CTF/CTF练习平台-flag在index里【php://filter的利用】
热门推荐
Sp4rkW的博客
08-20 4万+
原题内容: http://120.24.86.145:8005/post/ Mark一下这道题,前前后后弄了两个多小时,翻了一下别的博主的wp感觉还是讲的太粗了,这里总结下自己的理解: 首先打开这道题,页面只给你click me? no 点击进去显示test5 第一步,查看源代码,无果 第二步bp,无果 结合到题目,flag在index里,大胆尝试http://12...
upload-文件上传漏洞笔记
2202_75361164的博客
05-28 211
单循环绕过:shell.php. .;如果服务器给.php后缀添加了处理器:AddHandler application/x-httpd-php.php 那么,在有多个后缀的情况下,只要包含.php后缀的文件就会被识别出php文件进行解析,不需要是最后一个后缀,可绕过白名单过滤,如:shell.php.jpg。若有则进行绕过,检查php绕过(短标签绕过):<?若没有绕过就可以进行.htaccess绕过和.user.ini绕过,
bugku-Web 文件包含2
Sea_Sand息禅
12-15 492
打开网页查看源代码,在最上面发现upload.php,于是我们就访问这个文件:http://123.206.31.85:49166/index.php?file=upload.php 发现是让我们上传文件,然而,我们上传了并没什么用,但是下面说出了文件的位置。 这里我们构造一个文件再上传 创建一个文本文件并输入:<script language=php>system("ls")&...
2020-08-11-snowmass-github
03-02
标题 "2020-08-11-snowmass-github" 暗示这是一个与2020年8月11日有关的项目,可能是在Snowmass会议上或者关于Snowmass的讨论,且该内容已被上传至GitHub平台。描述中的内容同样简洁,重复了标题,意味着具体细节...
2020-08-10
03-01
【标题】: "2020-08-10" 这个标题可能是指一个特定日期相关的项目或更新,2020年8月10日,这在IT行业中可能是某个软件版本发布、技术研讨会或者代码更新的时间戳。 【描述】: 同样的描述“2020-08-10”似乎没有提供...
UL 1562-2020-08-11.pdf
08-02
UL 1562-2020-08-11
RV16X-26X-v1.0.01.01-2020-08-17-11-09-01-AM
最新发布
08-29
RV160设备固件,CVE-2021-1291漏洞仿真所需资源。
文件上传漏洞-(下)
wobushini的博客
03-21 360
Pass-10:双后缀名绕过 效果如下: 尝试双写后缀名绕过: Pass-11:%00截断 使用了白名单方式: 先上传php文件试试看看: url里多了一个“save_path”变量,我们使用%00来绕过: 咦,并没有上传成功呢?原来php.ini文件中有个配置项: magic_quotes_gpc=On 它的作用是将单引号、双引号、反斜杠与NULL等进行转义。 我们先将On改为Off,重启服务...
使用PHP实现文件上传和多文件上传
dianlei9877的博客
06-05 400
PHP2013 年 9 月 4 日 暂无评论 在PHP程序开发中,文件上传是一个使用非常普遍的功能,也是PHP程序员的必备技能之一。值得高兴的是,在PHP中实现文件上传功能要比在Java、C#等语言中简单得多。下面我们结合具体的代码实例来详细介绍如何通过PHP实现文件上传和多文件上传功能。 要使用PHP实现文件上传功能,我们先来编写两个php文件:index.php和up...
CTF 中PHP为协议总结
秋叶依剑
11-09 1396
CTF 中PHP为协议总结 php://filter php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。 php://filter 目标使用以下的参数作为它路径的一部分。 复合过...
正则绕过总结
qq_40327508的博客
09-28 7704
换行符绕过(%0a) <?php include("flag.php"); highlight_file(__FILE__); $c = $_GET['c']; if (preg_match('/^flag$/i', $c) && $c !== 'flag') { echo $flag; }else{ echo "nonono"; } 2.数组绕过 preg_match只能处理字符串,当传入的subject是数组时会返回false 3.%5c绕过 <?ph.
ctfshow刷题记录web89-99
Charon_____ajsh的博客
09-15 330
ctfshow刷题记录
CTFSHOW WEB入门 命令执行 web29-48
sinat_41572027的博客
07-09 1808
CTFSHOW WEB入门 命令执行 web29-48
2021-01-18
m0_53314778的博客
01-18 458
知识点: BUUCTF web-[极客大挑战 2019]Secret File: 学会运用BrupSuite(抓包,爆破等许多功能): php伪协议 使用php伪协议去读取的原因? 返回审计php代码,发现文件包含,看到了 input (php://input: 可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行),这个是伪协议的一种.结合题目一下想到的文件隐藏,于是我们猜测flag在后端文件中,并需要我们去读取他,传入的file经过了过滤,但是没有过滤filter php伪协议中
Bugku web——文件包含2
qq_40481505的博客
10-16 916
打开链接,看到链接形式为file=hello.php,因此首先尝试php文件包含 php://filter/read=convert.base64-encode/resource/hello.php 报错 php://input 报错 file://var/www/hello.php 没有报错,但也没有输出 data: text/plain,<?php echo 123; ?> ...
BUUCTF:[GXYCTF2019]BabyUpload
末初的CSDN博客
03-24 6854
https://buuoj.cn/challenges#[GXYCTF2019]BabyUpload 有几个上传限制,一起来看一下 1、后缀名不能有ph!对于文件后缀名的限制,无法绕过这里 2、上传类型也太露骨了吧!对Content-Type的限制,修改为image/jpeg即可绕过 3、诶,别蒙我啊,这标志明显还是php啊对上传文件的内容进行了检测,不能含有<?,这里的PHP版本为:PHP/5.6.23,可以使用<script language="php">eval($_POS
INSERT INTO `借阅表` VALUES (100001,'123413','0001','2020-11-05',NULL,'借阅'), (100002,'223411','0002','2020-9-28',2020-10-13,'已还'), (100003,'321123','1001','2020-7-01',NULL,'过期'), (100004,'321124','2001','2020-10-09',2020-10-14,'已还'), (100005,'321124','0001','2020-10-15',NULL,'借阅'), (100006,'223411','2001','2020-10-16',NULL,'借阅'), (100007,'411111','1002','2020-9-01',2020-9-24,'已还'), (100008,'411111','0001','2020-9-25',NULL,'借阅'), (100009,'411111','1001','2020-10-08',NULL,'借阅');
05-11
- 借阅编号:100001,读者编号:123413,书籍编号:0001,借阅日期:2020-11-05,归还日期:NULL,借阅状态:借阅 - 借阅编号:100002,读者编号:223411,书籍编号:0002,借阅日期:2020-9-28,归还日期:2020-10-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值