ctfshow -web文件上传
文章目录
151-JS验证
Content-Type:image/png
右击查看源代码,可知,只接收后缀名是png的images
上传一张png图片,显示成功
上传一张GIF,显示失败(因为不包含GIF格式)
光标在 上传图片 右击->检查
将png改为php即可上传后门代码(一句话木马)
上传成功
访问刚刚上传的一句话木马,调用system函数(调用系统命令)获取当前文件下面的列表,发现并没有我们需要的flag文件
查看上一级目录,发现有一个flag.php
用tac(linux里面的命令)命令读取flag.php里的flag
拿到flag:ctfshow{991687e3-96d7-45e4-90f5-0a8ff19261b3}
152-JS验证+MIME验证
右击查看源代码,发现和151关一样,只接收后缀名是png的images
修改前端代码,将png->php
上传后门代码,发现文件类型不合规
抓包,发现类型是application/octet-stream
将content-type改为image/png即可上传成功
访问刚刚上传的一句话木马,调用system函数(调用系统命令)获取当前文件下面的列表,发现是我们上传的一句话木马
尝试查看上一级目录,发现有一个flag.php
用tac(linux里面的命令)命令读取flag.php里的flag
拿到flag:ctfshow{74055962-d2d5-4a09-8189-39b1f80e5c7f}
153-JS验证+user.ini
参考文献https://www.cnblogs.com/NineOne/p/14033391.html
右击查看源代码,发现和151关一样,只接收后缀名是png的images
改前端后缀名
上传一句话木马,发现文件类型不合规
抓包,改文件类型
仍然上传错误
使用.user.ini : auto_prepend_file=hhh.png [参考文献https://www.cnblogs.com/NineOne/p/14033391.html]
再上传1.png ,并写上后门代码
调用system函数(调用系统命令)获取当前文件下面的列表
拿到flag:ctfshow{154046dd-cede-4623-a986-70b9c7302788}
154-J9验证+user.ini+短标签 过滤了 <?php
右击查看源代码,发现和151关一样,只接收后缀名是png的images
改前端后缀名
上传后门代码,发现文件不合规
抓包 更改文件类型 .user.ini : auto_prepend_file=1.png
再上传1.png ,并写上后门代码,发现错误 -> 过滤了==<?php==
可以使用以下4种方法进行绕过
<?echo'123';?> //前提是开启配置参数short_open_tags=on
<?=(表达式)?> //不需要开启参数设置
<% echo'123';%> //前提是开启配置参数asp_tags=on
<script language="php">echo '1';</script> //不需要修改参数开关
调用system函数(调用系统命令)获取当前文件下面的列表
拿到flag:ctfshow{ad3fef11-7c0e-4dc5-b3b8-0d6d0b239c27}
155-J9验证+user.ini+短标签 过滤了 <?php (同154关)
改前端后缀名
抓包 ->更改文件类型 .user.ini : auto_prepend_file=1.png
使用<?=eval($_POST[x]$);?>进行绕过
调用system函数(调用系统命令)获取当前文件下面的列表
拿到flag:ctfshow{2b2933a8-0547-4f62-981e-0cab37db82cb}
156-JS验证+user.ini+短标签+过滤
改前端后缀名
抓包 ->更改文件类型 .user.ini : auto_prepend_file=1.png
使用<?=eval($_POST[x]$);?>进行绕过,发现报错,原因是==[x]==
所以使用 {} 或()代替 [ ] 进行绕过
调用system函数(调用系统命令)获取当前文件下面的列表
拿到flag:ctfshow{389c9556-2b73-4dd5-8ed6-8845a691c645}
157 -JS验证+user.ini+短标签+过滤
改前端后缀名
抓包 ->更改文件类型 .user.ini : auto_prepend_file=1.png
使用<?=eval($_POST[x]$);?>进行绕过,发现报错,原因是过滤了 ;等。所以我们可以直接使用tac …/flag.php命令绕过,但是也过滤了 .php ,直接使用正则表达式 flag* 来绕过
访问网址,拿到flag:ctfshow{492fdc04-ad7f-4d2f-8586-4b691f53922e}
158 -JS验证+user.ini+短标签+过滤(同157)
改前端后缀名
抓包 ->更改文件类型 .user.ini : auto_prepend_file=1.png
使用tac …/flag*命令绕过
访问网址,拿到flag:
159 -JS验证+user.ini+短标签+过滤
改前端后缀名
抓包 ->更改文件类型 .user.ini : auto_prepend_file=1.png
使用tac …/flag*命令绕过,出现错误。原因:过滤了()
使用<?=`tac ../flag*`?>进行绕过。 反引号``:PHP尝试将反引号中的内容作为shell命令来执行,并将其输出信息返回。
拿到flag:ctfshow{3d7403e6-410c-4680-8ca9-764f7c1ce577}
160 JS验证+user.ini+短标签+过滤
改前端后缀名
抓包 ->更改文件类型 .user.ini : auto_prepend_file=1.png
使用<?=`tac ../flag*`?>出现错误,原因:过滤了``
日志:记录访问者地址,访问者信息,访问者UA头。思路:通过访问一个地址,UA头改为后门代码,利用.user.ini包含日志文件,去触发访问者UA头里面的后门代码。
日志文件根据中间件决定。nginx日志路径/var/log/nginx/
所以使用 /var/log/nginx/绕过,但是会进行过滤。所以使用<?=include"/var/lo"."g/nginx/access.lo"."g"?>拼接进行绕过
访问路径
发现日志文件记录浏览器信息,抓包->将后门代码写入UA中,再换一个不存在的地址
成功写入日志文件中
访问地址,读取flag
拿到flag(右击->查看源代码):ctfshow{9a122e6d-fd6d-4679-9b86-5126e1cda5b6}
161 JS验证+user.ini+短标签+过滤+文件头
改前端后缀名
文件头部检测是否为图片格式文件 GIF文件格式的版本号->GIF89a
抓包 ->更改文件类型 .user.ini : auto_prepend_file=1.png 加上 GIF89a证明是GIF 因为过滤空格,所以要换行
使用<?=include"/var/lo"."g/nginx/access.lo"."g"?>进行绕过
在UA头里面写上后门代码
上传日志成功
使用命令执行日志里的后门文件
拿到flag:ctfshow{7d673a80-87c0-451a-9908-d03b853a7ea9}