[HarekazeCTF2019]Avatar Uploader 1

于 2022-04-22 19:18:11 发布
阅读量1.1k 收藏
点赞数
分类专栏: WEB 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63045593/article/details/124353074
版权

[HarekazeCTF2019]Avatar Uploader 1

首先就是一个普通界面

在这里插入图片描述

常规思路看cookie 路径啥的都没有有用的信息

这个界面是可以直接登录的

题目中也给出了源码

在这里插入图片描述

首先 是基本的对图片的识别

最后获得flag的位置为size处也就是 getimagesize()函数的识别

在检查文件类型时,finfo_file()函数检测上传图片的类型是否是image/png
在检查文件长宽时,getimagesize() 函数用于获取图像大小及相关信息,成功将返回个数组

也就是说要finfo_file()识别为png,而getimagesize()不识别为png

fil

最低0.47元/天 解锁文章
!Tana
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP获取远程图片宽、高
李维山的博客
02-20 454
使用函数 getimagesize: <?php $remote_png_url = 'http://xxx.png'; $img_data = getimagesize($remote_png_url); print_r($img_data); 打印结果如下: Array ( [0] => 290 [1] => 69 [2] => 3 [3] => width="290" height="69" [b
buuctf [HarekazeCTF2019]Avatar Uploader 1
qq_52671379的博客
04-08 844
buuctf [HarekazeCTF2019]Avatar Uploader 1
vue-avatar:VueJS 2.0的头像组件
05-15
如果未成功加载,则将不使用它(字母头像作为后备)安装 npm install --save @lossendae/vue-avatar用法ES6 import Vue from 'vue'import VueAvatar from '@lossendae/vue-avatar'// If not installed ...
Unity Avatar角色换装实例
05-13
Unity Avatar角色换装实例,在同时也附带了一篇博客blog.liujunliang.com.cn
Avatar Wallpaper HD 2019 Tab Theme-crx插件
04-07
下载Avatar电影背景,并在每次打开新标签时都喜欢这些背景。 下载扩展是免费的,不会阻碍或减慢搜索引擎的使用方法:-单击“添加到Chrome”按钮安装此扩展,它将自动添加。 加载扩展程序时,请等待几秒钟,然后执行...
Avatar换装系统
03-21
它是一个Unity项目,显示如何在Unity中构建Avatar换装系统。 换装系统在游戏中非常重要,特别是在MMO游戏中。 通常,换装系统包含两个重要部分。 由于装备的外观不同(网格不同),因此将这些网格合并在一起是必要的...
Java获取Avatar头像工具类
10-22
Java获取Avatar头像图片工具类。输入参数为Avatar注册邮箱地址,就能生成对应注册邮箱的Avatar头像链接。WordPress头像。
getimagesize函数介绍
weixin_30814319的博客
09-17 286
getimagesize(); 返回结果说明 索引 0 给出的是图像宽度的像素值 索引 1 给出的是图像高度的像素值 索引 2 给出的是图像的类型,返回的是数字,其中1 = GIF,2 = JPG,3 = PNG,4 = SWF,5 = PSD,6 = BMP,7 = TIFF(intel byte order),8 = TIFF(motorola byte order),9 = JP...
BUUCTF:[HarekazeCTF2019]Avatar Uploader 1
../../../../../../../
08-19 1238
打开靶机 登录后是一个文件上传界面 题目给了源码,在upload.php中,有两个关键函数,file_info 用来返回一个文件的信息即判断图片上传类型为png,getimagesize 用于获取图像大小及相关信息,并进行再一次类型判断,如果文件类型不为png,即返回flag 因为file_info判断为png,而getimagesize判断结构不能为png,通过了解知道file_info可以识别 png 图片( 十六进制下 )的第一行,而getimagesize 不可以 找一张符合条件的png图片,
BUUCTF--[HarekazeCTF2019]Avatar Uploader 1
qq_46263951的博客
07-19 387
name随便输一个,进入之后看到是让上传头像,这个应该是一个文件上传漏洞 接下来分析所给的源码 <?php error_reporting(0); require_once('config.php'); require_once('lib/util.php'); require_once('lib/session.php'); $session = new SecureClientSession(CLIENT_SESSION_ID, SECRET_KEY); // check wh..
buu-[HarekazeCTF2019]Avatar Uploader 1
qaq517384的博客
10-25 205
打开环境,后面那个切换主题不用管 sign in要大于四个字符才写 要求上传一张256X256像素内的图 嗯?上传成功,然后没了 哦,头像变了 bp抓了一个jwt 扫不出来 又是一个原题给源码的 <?php error_reporting(0); require_once('config.php'); require_once('lib/util.php'); require_once('lib/session.php'); $session = new SecureClientSession
[CSAWQual 2019]Web_Unagi XXE漏洞 [HarekazeCTF2019]Avatar Uploader 1 finfo_file和getimagesize
scrawman的博客
01-27 2830
[CSAWQual 2019]Web_Unagi 看提示有告诉你xml的格式 <?xml version='1.0'?> <!DOCTYPE users [ <!ENTITY xxe SYSTEM "file:///flag" >]> <users> <user> <username>bob</username> <password>passwd2</passwor
CTF之Avatar
King
10-27 711
题目地址: https://adworld.xctf.org.cn/task/answer?type=misc&number=1&grade=1&id=4903&page=1 将图片下载下来后,发现是这个样子的。(一只可爱的小羊羔~~咩咩~~~) 这个题用到了一个叫做outguess的工具(说实话,我也是第一次听说这个工具~~2333333)。 工具下载...
Vue+elementUI+SpringBoot项目-上传用户头像(1)
一个还在上学的程序缘
04-18 1879
前言   一直感觉头像上传是个非常基础简单的功能,可是实现此功能用了将近2天的时间,所以记录下走过的坑。   前端采用vue+elementui,后端采用springboot。本篇文章先介绍前端文件的上传,后一篇介绍后端如何进行接收和存储的。 实现 (1)首先用element ui为我们定义的头像上传组件。 <el-upload class="avatar-uploader" action="#" accept=".jpg,.jpeg
[BUU刷题记录]day01-起步
anwen12的博客
12-13 4506
BUU-WEB 这是一个菜鸡的蜕变 先小记录一下题目环境部署必备的docker安装 sudo apt-get remove docker docker-engine docker.io containerd runc sudo apt-get update sudo apt-get install apt-transport-https ca-certificates curl gnupg lsb-release curl -fsSL https://download.docker.com/linux
avatar-uploader
最新发布
07-29
关于 avatar-uploader,我了解到它是一个用于上传用户头像的组件或功能。它可以让用户选择并上传自己的头像图片,然后将其保存在服务器上,以便在需要时进行显示和使用。这种功能常见于社交媒体平台、论坛或个人资料...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值