[GXYCTF2019]BabyUpload wp

最新推荐文章于 2024-01-04 09:45:50 发布
最新推荐文章于 2024-01-04 09:45:50 发布
阅读量5.4k 收藏 1
点赞数 3
分类专栏: 笔记 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55185160/article/details/123641950
版权

打开题目是一个普通的文件上传,首先上传一个普通的一句话木马得到

发现后缀名过滤了ph,所以我们上传一个图片马

上传类型也受限制了,所以把数据类型改为image/ipeg

回显报错说明它检测的是文本的内容,是过滤了php的标志<?

这里还查看到php版本为PHP/5.6,在网上搜索到了绕过姿势

可以使用<script language='php'>eval($_POST[cmd]);</script>

现在只有后缀名无法无法绕过了,这里我们想到.htaccess

.htaccess攻击

.htaccess是Apache服务器的分布式配置文件,该配置文件会覆盖Apache服务器的全局配置,作用域是当前目录及其子目录。

如果一个web应用允许上传.htaccess 文件,那就意味着攻击者可以更改Apache 的配置,这是十分危险。

若配置文件中有如图中一样,即表示允许被覆盖。

*将.png文件当作PHP文件解析

将以下代码写入文件,并保存成.htaccess名字,放到测试目录下

AddType application/ x-httpd-php .png

在同一目录下创建一个文件[info. png],文件内容如下

<?php

phpinfo( );

?>

当我们访问该文件时,[info.png] 内的PHP代码将会被执行。

我们看到server:OpenResty

OpenResty(也称为 ngx_openresty)是一个全功能的 Web 应用服务器。它打包了标准的 Nginx 核心,很多的常用的第三方模块,以及它们的大多数依赖项。

在查询过后发现Nginx也是可以使用.htaccess文件的,所以我们可以是先上传.htaccess文件后,绕过后缀名的检测

之后上传shell.shell文件

解析上传成功,

我们访问这个木马,并且用show_source() 函数,查看到flag。

0x01 PHP show_source() 函数

定义和用法

show_source() 函数对文件进行语法高亮显示。

语法

show_source(filename,return)
本函数是 highlight_file() 的别名。

filename 必需。要进行高亮处理的 PHP 文件的路径。

return 可选。如果设置 true,则本函数返回高亮处理的代码。

返回值

如果 return 参数被设置为 true,那么该函数会返回被高亮处理的代码,而不是输出它们。(比如写了一段计算的代码,会返回代码本身而不是计算结果)否则,若成功,则返回 true,失败则返回 false。

payload:最post:shell=show_source('/flag');得到flag。

0x01 PHP show_source() 函数

定义和用法

show_source() 函数对文件进行语法高亮显示。

语法

show_source(filename,return)
本函数是 highlight_file() 的别名。

filename 必需。要进行高亮处理的 PHP 文件的路径。

return 可选。如果设置 true,则本函数返回高亮处理的代码。

返回值

如果 return 参数被设置为 true,那么该函数会返回被高亮处理的代码,而不是输出它们。(比如写了一段计算的代码,会返回代码本身而不是计算结果)否则,若成功,则返回 true,失败则返回 false。

0x02 payload

最后post:shell=show_source('/flag');得到flag

做完题之后看到了附件里面有源码

通过代码审计之后确实是过滤了后缀名,文件类型,上传内容中的<?。

最后附上文件上传的解题思路



 

Bri9ht_pe@r1
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【BUU】[GXYCTF2019]BabyUpload
qi_SJQ_的博客
02-07 725
1.本题知识: 图片尺寸小于2000字节,但对文件头没有检验。 检验content-type且只能为jp(e)g,png与gif都不行。 .htaccess配置文件替换。 过滤了一些敏感函数,以及php声明绕过,ph后缀过滤后好像没办法绕过去上传php文件。 2.别人的wp很详尽,我就对被拦截的情况来阐述吧: 后缀名不能有ph:我们后缀只能为jpg上传,但没有文件包含函数可以利用,图片马上传上去没用。因此就可以尝试.htaccess文件替换来将任意后缀解析为php。 AddType applicat
【复习】BUUCTF:[GXYCTF2019]BabyUpload -- 对.htaccess的 包含自己和解析图片马为php文件都可以的 。。也算easy
Zero_Adam的博客
04-19 1043
一、自己做: 只需要更改Content-Type就能够绕过了,但是好像对文件内容有过滤。 那么,不能有? ,看看PHP的版本,看看能够用html的script进行绕过 能成功,看看能否解析。
[GXYCTF2019]BabyUpload1
qq_60905276的博客
11-25 303
看来后缀名不能有ph。考虑改包,然后发现好像对内容也有检测。 短标签和<script> 标签都不行。抓包看看是哪里的问题。 没什么问题,是不是没有考虑用.htaccess文件。 再试一次,还不行。 卧槽,看了别人的wp才发现png和jpg都不能上传,吐了。恶心人,啊呸! 改成jpeg就行了。 ...
BUUCTF之BabyUpload[GXYCTF2019]
金 帛的博客
06-11 595
BUUCTF的wp
[GXYCTF2019]BabyUpload(典型图片马基础绕过流程)
EC_Carrot的博客
11-05 2152
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! [GXYCTF2019]BabyUpload 这题坑了我一小会,我就在想这都能坑到我,真的是太年轻了(`-д-;)ゞ 试了一下gif,jpg用不了,png是可以的 上传php提示不能上传后缀名带ph的文件 再测试上传.htaccess文件 发现改type为image/jpeg能上传成功 到这里不难猜出是图片马getshell了 拿蚁剑连马拿fla
[GXYCTF 2019]BabyUpload
最新发布
m0_73612768的博客
01-04 670
.htaccess;
【学习笔记 41】 buu [GXYCTF2019]BabyUpload
weixin_43553654的博客
08-02 517
0x00 知识点 .htaccess文件上传绕过 0x01 知识点详解 请参考我上一篇学习笔记 0x02 解题思路 一看就知道是上传,尝试php3,phtml,普通一句话木马改后缀也不行,而且是添加了对文件的检测。 继续尝试利用.htaccess文件上传,首先上传一个.htaccess文件 <FilesMatch "flag.png"> SetHandler application/x-httpd-php </FilesMatch> 这里注意,这道题不知道为什么,我这
GXYCTF2019_Web_wp
qq_45628145的博客
06-04 689
Ping Ping Ping 根据题名,和这个/?ip=就知道是个命令执行题了,ping一下看看 接下来ls一下看看 发现有flag.php和index.php两个文件,那就cat它们一下看看 这里发现空格被ban了,回显fxck your space!,这里可以用$IFS$9进行绕过,得到index.php的内容 |\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){ echo preg_match("/\&|\/|\?|\*|\<|[\x
BUUCTF Web [MRCTF2020]Ez_bypass1 & [GXYCTF2019]BabySQli1 & [GXYCTF2019]BabyUpload1
网安小趴菜
09-09 352
BUUCTF Web [MRCTF2020]Ez_bypass1 & [GXYCTF2019]BabySQli1 & [GXYCTF2019]BabyUpload1
Wp.rar_wp
09-14
标题中的"Wp.rar_wp"可能是指一个名为"Wp"的RAR压缩文件,后缀"_wp"可能是用户为了标记或区分该文件而添加的自定义标识。这个压缩包内容与但丁滤波器设计有关,是一种在信号处理领域广泛应用的技术。 在描述中提到...
mingyue.exe wp
03-08
标题中的"mingyue.exe wp"可能是指一个特定的程序或者命令行操作,但没有足够的上下文来详细解释它的具体含义。不过,我们可以基于提供的描述和标签内容来探讨一些相关的IT知识点。 首先,标签"wp"可能是...
wp实现一键锁屏功能
04-04
WP8的时候,关于如何关闭屏幕,国内外都有不少文章了,大家有兴趣地可以搜搜,很多,我就不给链接了,因为稍后我的例子中会有。 其实,关闭屏幕是调用了未开放的API,正因为这个API未开放的,不敢保证所有机型都能...
封面应用WP7
04-02
这是封面应用WP7源码,也是Windows Phone 7封面应的一个实例,可以实现项目演示影片效果,和一些书籍等封面效果,该界面不但可以实现左右滚动,而且效果很不错,喜欢wp开发的朋友可以下载学习一下。
WP Rocket v3.2.5 
02-23
wp-rocket是WordPress专业的本地缓存的神器,可以优化你的JS CSS文件结构减少多次请求达到优化速度的目的,还集成了图片延迟加载对最求极致加速的用户不错的选择,通过使用这个插件,能使得你的WordPress博客将显著...
affinewp
m0_55185160的博客
06-15 6362
题目: d87 x65 x6c x63 o157 d109 o145 b100000 d116 b1101111 o40 x6b b1100101 b1101100 o141 d105 x62 d101 b1101001 d46 o40 d71 x69 d118 x65 x20 b1111001 o157 b1110101 d32 o141 d32 d102 o154 x61 x67 b100000 o141 d115 b100000 b1100001 d32 x67 o151 x66 d116 b101
[GWCTF 2019]我有一个数据库 wp
m0_55185160的博客
04-23 4355
得到了/phpmyadmin/路径,加上题目是我有一个数据库,于是想到应该本题就是和phpmyadmin数据库有关 我们可以看到phpmyadmin的版本为4.8.1,搜索后发现这个版本的phpmyadmin存在漏洞CVE-2018-12613,下面我们复现一下漏洞。 首先分析一下源码: index.php 关于target的部分 $target_blacklist = array ( 'imp..
[0CTF 2016]piapiapia WP
m0_55185160的博客
03-31 3869
打开题目发现是一个登录注册页面,然后利用sql注入的方法进行测试结果没有反应,于是使用dirsearch去扫一下网站看看有没有什么东西,扫到了register.php和www.zip,看到有网站源码就会顺利很多了 下载下源码来分析一下, register.php 这是注册页面的php代码,只是限制了username和password的长度和是否存在。 注册登录成功以后跳转到了update.php 分析一下update.php的代码 可以通过post方式上传phone...
wireshark的使用
m0_55185160的博客
08-12 3545
1.Wireshark是什么? Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 2.Wireshark基本使用方法 Wireshark的基本使用分为数据包筛选、数据包搜索、数据包还原、数据提取四个部分。 3.数据包筛选 Wireshark的数据包筛选功能是wireshark的核心功能,比如需要筛选出特定...
WP7程序开发入门指南
"wp7程序开发指南" 该资源是一本针对Windows Phone 7 (简称WP7)应用开发的入门指南,由Microsoft Press出版,适合初学者使用。由于市场上专门针对WP7开发的书籍较为稀缺,因此这本书显得尤为珍贵。书中内容涵盖了WP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值