半夜睡不着起来看看题 文件上传的Avatar Uploader 1以及CVE-2018-18086漏洞复现

最新推荐文章于 2024-08-20 08:19:02 发布
最新推荐文章于 2024-08-20 08:19:02 发布
阅读量370 收藏 10
点赞数 6
文章标签: 安全 web安全 网络安全 系统安全 学习方法 密码学 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hellokittywz/article/details/139538129
版权

半夜睡不着起来做做文件上传,在半夜还是收获了一些,首先看看buuctf的Avatar Uploader 1这个题,前面直接登录就行了。文件上传真的难上传!!!结果是代码审计!!!

进去过后就是正常的文件上传的操作,但是它也提示,只能上传png格式的图片。

然后抓包进行操作,进行各种各样的绕过,我以为它是检查了文件头我就把jpg改成png但是还是提示我上传png格式的图片 

我上传正常的png格式的图片还是对我说请上传png图片,我就有点疑惑了,正常的图片怎么也是这样,那它对哪进行了检查,我试了很多中方法,前面我一来我就用了那个数据流::$data这个来进行处理的操作,然后我重新看了一下靶机时间,发现还有其他的链接,一打开就是github的这个题的源码,原来是叫我进行代码审计的操作

下面看看代码

if (!file_exists($_FILES['file']['tmp_name']) || !is_uploaded_file($_FILES['file']['tmp_name'])) {
  error('No file was uploaded.');
}
echo $_FILES['file']['tmp_name'].'<br>';

// check file size
if ($_FILES['file']['size'] > 256000) {
  error('Uploaded file is too large.');
}

// check file type
$finfo = finfo_open(FILEINFO_MIME_TYPE);
echo $finfo.'<br>';
$type = finfo_file($finfo, $_FILES['file']['tmp_name']);
echo $type.'<br>';
finfo_close($finfo);
if (!in_array($type, ['image/png'])) {
  error('Uploaded file is not PNG format.');
}

// check file width/height
$size = getimagesize($_FILES['file']['tmp_name']);
echo var_dump($size).'<br>';
if ($size[0] > 256 || $size[1] > 256) {
  error('Uploaded image is too large.');
}
echo var_dump(IMAGETYPE_PNG);
if ($size[2] !== IMAGETYPE_PNG) {
  // I hope this never happens...
echo 'YES';
 error('What happened...? OK, the flag for part 1');
}

重点就看2个函数一个是finfo_file() 另外的一个是getimagesize()这2个函数

第一个函数简单点来说就是检查文件头的,第二个函数简单点来说就是通过文件的结构(宽,长等等)

来说起信息的。这2个函数结合起来我们要对它进行绕过,可以只保留文件头的内容,破坏其他的内容就可以,看的代码审计。

首先构造我们要的文件。

然后在进行上传就得到了想要的flag。

如果简单的只有第二个那个通过文件结构获取信息的函数,我们可以使用GIF89a来进行绕过

GIF89a这个参数也就是把我们的文件认为是一张图片,从而绕过单个的函数。第一个单独的话也就是更好绕过了,只要文件头的信息一样就行了。

下面我们在来看看那个CVE-2018-18086漏洞复现

先打开页面,发现是一个登录框,然后进行简单的密码登录,是admin/123456弱命令

进入到后台,然后要更改密码随便改一下就完事

然后在经过漏洞的描述,很快的就找到了,漏洞的所在,我们进行复现操作。

在系统管理的地方进行数据表的操作,这点进行我们的后门文件进行上传操作。

然后添加表的时候随便写一个表的名称也就是*php.mod这样的后缀名就行了。

然后现在的关键就是后面文件是怎么构造的:后面的代码是写到getshll.php这个文件中

下面的木马写的时候要/进行$转义,我问了一些师傅,师傅说这个是强制转义字符,转义字符是一种加密方法师傅说有时候要进行手动加密,上传,有时候中间有解密,还要多加密几次,也就是编码绕过。

file_put_contents

下面来访问看看这个文件怎么样 ,发现可以正常的访问,差不多成功了。        

这里进行访问我们的后门文件找到了,没有报错然后用蚁剑进行的连接操作

最后在tmp中找到了我们要的flag,我前面一直看那个flag表,一直点还以为连接给我断开了!!!找个答案都难找哟。睡觉!!!

helloKittywz
关注
Atom CMS SQL注入漏洞CVE-2022-25488)
千寻的博客
12-01 1655
Atom CMS v2.0存在sql注入漏洞在/admin/ajax/avatar.php页面
buu-[HarekazeCTF2019]Avatar Uploader 1
qaq517384的博客
10-25 219
打开环境,后面那个切换主不用管 sign in要大于四个字符才写 要求上传一张256X256像素内的图 嗯?上传成功,然后没了 哦,头像变了 bp抓了一个jwt 扫不出来 又是一个原给源码的 <?php error_reporting(0); require_once('config.php'); require_once('lib/util.php'); require_once('lib/session.php'); $session = new SecureClientSession
buuctf [HarekazeCTF2019]Avatar Uploader 1
qq_52671379的博客
04-08 947
buuctf [HarekazeCTF2019]Avatar Uploader 1
VAuditDemo文件漏洞
最新发布
YhMjQx的博客
08-20 1196
VAuditDemo中存在首页文件包含漏洞以及avatar的任意文件读取漏洞,此漏洞被利用就可以读取全站源码,从而黑盒变白盒,渗透变审计
BUUCTF:[HarekazeCTF2019]Avatar Uploader 1
../../../../../../../
08-19 1282
打开靶机 登录后是一个文件上传界面 目给了源码,在upload.php中,有两个关键函数,file_info 用来返回一个文件的信息即判断图片上传类型为png,getimagesize 用于获取图像大小及相关信息,并进行再一次类型判断,如果文件类型不为png,即返回flag 因为file_info判断为png,而getimagesize判断结构不能为png,通过了解知道file_info可以识别 png 图片( 十六进制下 )的第一行,而getimagesize 不可以 找一张符合条件的png图片,
用友NC avatar接口文件上传漏洞
Keepb1ue的博客
04-18 533
用友 NC avatar接口处存在任意文件上传漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。
[HarekazeCTF2019]Avatar Uploader 1
Youth____的博客
02-02 446
首先打开目环境 随便用了个用户名登录进去了 成功登录,是一个上传页面,提示了要上传一个小于256kB且小于256px*256px的png图片 这是直接给了源码的,既然是文件上传,那就看看upload.php <?php error_reporting(0); require_once('config.php'); require_once('lib/util.php'); require_once('lib/session.php'); $session = new SecureClien
vue-avatar-cropper:一个简单而优雅的头像裁剪和上传插件
02-06
:girl: 一个简单而优雅的头像裁剪和上传插件。 正在安装 $ npm i vue-avatar-cropper 用法 < button id = " pick-avatar " >Select an image</ button > < avatar-cropper @ uploaded = " ...
react-nice-avatar:用于生成头像的React库
08-04
Figma 文件: 安装 npm install react-nice-avatar 要么 yarn add react-nice-avatar 用法 导入组件 import Avatar , { genConfig } from 'react-nice-avatar' 生成随机配置,配置可以保存到您的数据库中以备后用...
Avatar Maker Pro - 3D avatar from a single selfie.rar
04-03
Avatar Maker Pro - 3D avatar from a single selfie》是一个创新的软件工具,它利用先进的图像处理和3D建模技术,使用户能够通过一张简单的自拍照片创建逼真的3D头像。这款工具专为那些希望在虚拟世界中拥有个性...
Avatar-Net: Multi-scale Zero-shot Style Transfer by Feature Decoration
07-04
Zero-shot artistic style transfer is an important image synthesis problem aiming at transferring arbitrary style into content images. However, the trade-off between the gener- alization and efficiency...
[CSAWQual 2019]Web_Unagi XXE漏洞 [HarekazeCTF2019]Avatar Uploader 1 finfo_file和getimagesize
scrawman的博客
01-27 2943
[CSAWQual 2019]Web_Unagi 看提示有告诉你xml的格式 <?xml version='1.0'?> <!DOCTYPE users [ <!ENTITY xxe SYSTEM "file:///flag" >]> <users> <user> <username>bob</username> <password>passwd2</passwor
帝国cms empirecms 文件上传CVE-2018-18086复现
YouthBelief的博客
11-18 3034
所有文章,仅供安全研究与学习之用,后果自负! 这里写目录标empirecms 文件上传CVE-2018-18086)0x01 漏洞描述0x02 影响范围0x03 漏洞复现0x04 漏洞修复 empirecms 文件上传CVE-2018-18086) 0x01 漏洞描述 EmpireCMS(帝国网站管理系统)是一套内容管理系统(CMS)。 EmpireCMS 7.5版本中的e/class/moddofun.php文件的‘LoadInMod’函数存在安全漏洞。攻击者可利用该漏洞上传任意文件。 密码:a
empirecms 文件上传CVE-2018-18086漏洞复现
weixin_42675091的博客
09-02 1458
empirecms 文件上传CVE-2018-18086漏洞复测
element-ui中上传组件el-upload上传的图片,实现先本地预览后上传至服务器
qq_43092804的博客
12-16 4849
<el-form-item label="组头像"> <el-upload class="avatar-uploader" action=" " :show-file-list="false" :on-success="handleAvatarSuccess" :before-upload="beforeAvatarUpload" ...
文件上传(包括编辑器上传)漏洞绕过总结(适用于pte考试、ctf及常规测试、修复任意文件上传漏洞可做参考)
weixin_42075643的博客
03-28 3919
文件上传绕过总结;编辑器文件上传;渗透测试记录
Web安全 EmpireCMS漏洞常见漏洞分析及复现
2401_84297796的博客
04-28 991
点击下一步就会自动在数据库生成一个empirecms的数据库并在其中建立许多个表然后再设置进入后台管理员的密码下一步即可安装完成,这里提示要删除路径避免被再次安装,但是这个地方其实设置了两层保护,即使你访问install这个路径会有一个.off文件在路径下,需要将这个.off文件删除后才能再次安装输入设置的后台管理员用户名和密码即可进入管理员后台。
avatar-uploader
07-29
关于 avatar-uploader,我了解到它是一个用于上传用户头像的组件或功能。它可以让用户选择并上传自己的头像图片,然后将其保存在服务器上,以便在需要时进行显示和使用。这种功能常见于社交媒体平台、论坛或个人资料...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值