BUUCTF n1book [第二章 web进阶]文件上传

已于 2022-07-02 21:24:37 修改
阅读量2.4k 收藏 4
点赞数 1
分类专栏: CTF 文章标签: php 安全 web安全
于 2022-07-02 21:10:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nareku/article/details/125548718
版权

花了一天多才搭好docker的环境,然后再来写这道只能说自己搭环境也太香啦 不过这道题也花了一点点点时间琢磨

题目分析

打开题目,发现是一如既往的文件上传界面
在这里插入图片描述
习惯性抓个包,界面源码已经完全暴露了,太长了这里就不放了(根据以往的经验和参考其他的师傅的wp 小小地分析了一下)

  <?php
header("Content-Type:text/html; charset=utf-8");
// 每5分钟会清除一次目录下上传的文件

//会包含文件pclzip.lib.php,感觉这个php里面是有一些针对zip包进行解压等的操作的
require_once('pclzip.lib.php');

//要是没上传文件,就输出上传页面
if(!$_FILES){
echo '省略的HTML'
    show_source(__FILE__);
}else{
    $file = $_FILES['file'];

//限制上传的文件名不为空
    if(!$file){
        exit("请勿上传空文件");
    }
    $name = $file['name'];

    $dir = 'upload/';
    $ext = strtolower(substr(strrchr($name, '.'), 1));
     $path = $dir.$name;
//strrchr($name, '.') 
//strrchr() 函数查找字符串在另一个字符串中最后一次出现的位置,并返回从该位置到字符串结尾的所有字符。
//比如上传的文件名为$name=1.php.txt,这里strrchr($name, '.') 执行结果为.txt
//substr(strrchr($name, '.'), 1)
//substr字符串截取,从下标为1开始截取,那就是把点略过,截取后为txt
//通过strtolower函数将所有字符转换为小写,赋值给ext变量
//如果我们上传的文件名为1.txt,那么path变量就为upload/1.txt


//检查是否为目录
    function check_dir($dir){
        $handle = opendir($dir);
        while(($f = readdir($handle)) !== false){
            if(!in_array($f, array('.', '..'))){
                if(is_dir($dir.$f)){
                    check_dir($dir.$f.'/');
                 }else{
                    $ext = strtolower(substr(strrchr($f, '.'), 1));
                    if(!in_array($ext, array('jpg', 'gif', 'png'))){
                        unlink($dir.$f);
                    }
                }
            
            }
        }
    }
    
//创建目录    
    if(!is_dir($dir)){
        mkdir($dir);
    }


    $temp_dir = $dir.md5(time(). rand(1000,9999));
    if(!is_dir($temp_dir)){
        mkdir($temp_dir);
    }
//这里应该就是最难的了,大概就是将目录名拼接一个随机数,读到这里,基本上就知道需要路径穿越了
因为我们不知道随机数值,所以就算绕过上传,解析也是一大关(路径不难找,就是解析难)


//首先进行后缀的校验,把刚刚拿到的,最后一个.后面的字符串和这里的zip、jpg、gif、png进行对比校验
    if(in_array($ext, array('zip', 'jpg', 'gif', 'png'))){
        if($ext == 'zip'){
//使用PclZip进行解压缩        
            $archive = new PclZip($file['tmp_name']);
//遍历解压缩后的每个目录            
            foreach($archive->listContent() as $value){
                $filename = $value["filename"];
//一段较为简单的正则,就是匹配每个文件结尾的位置,是否是.php                
                if(preg_match('/\.php$/', $filename)){
                     exit("压缩包内不允许含有php文件!");
                 }
            }
            if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
                check_dir($dir);
                   exit("解压失败");
            }

            check_dir($dir);
            exit('上传成功!');
        }else{
            move_uploaded_file($file['tmp_name'], $temp_dir.'/'.$file['name']);
            check_dir($dir);
            exit('上传成功!');
        }
    }else{
        exit('仅允许上传zip、jpg、gif、png文件!');
    }
}

这样我们上传的文件的路径就是 upload/随机值/上传的文件名

解题过程

我们构造最终文件名为/…/…/hhh.php.xxx 为什么要这样设置文件名呢?
1)/…/…/
因为我们要绕过路经检测,通过路径穿越将文件放到指定目录(通过路径穿越将文件上传到web根目录下) 那么一层是upload,一层是随机值,所以我们要穿越两层,直到根目录 这样我们才能访问得到
2)hhh.php.xxx
在这里插入图片描述
apache版本为2.4.7,当我们上传一个hhh.php是不允许上传的,但是我们上传hhh.php.xxx绕过了后缀检验,上传到了根目录,利用apache解析漏洞,我们再去访问这个文件,这时apache从后面开始解析,遇到xxx,不认识,再往前解析,php,认识,这个时候apache就会将hhh.php.xxx文件解析为hhh.php脚本文件,就可以得到shell了

首先我们先创建一个文件(不是文件夹!!),文件后缀随便,只要文件名长度满足18即可,这就成功将后缀完全覆盖了
在这里插入图片描述
将文件压缩成zip
在这里插入图片描述
在010Edtior中打开该压缩包
在这里插入图片描述
修改文件名为:/…/…/hhh.php.xxx (实操/…/…/1.php.xxx的时候行不通,觉得是长度问题,但是看有些师傅的wp又可以??有点奇怪)
在这里插入图片描述在这里插入图片描述

上传该压缩包绕过对后缀的检查,然后我们在kail中可以看到文件已经上传成功,那么就来访问一下这个文件
在这里插入图片描述
得到flag

在这里插入图片描述
补充:验证一下上传文件的路径哈哈哈
随便上传个符合后白名单的文件(图片),在kail中可以看到确实如此
在这里插入图片描述

文章参考:
https://blog.csdn.net/zy15667076526/article/details/114139749
https://www.cnblogs.com/murkuo/p/14915458.html

narukuuuu
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web-文件上传【超详细讲解】
wo41ge的博客
12-01 1701
web151-前端验证 前端验证,抓包修改数据OK web152-前端+MIME 直接抓包修改后缀 web153-.user.ini 对 自 PHP 5.3.0 起,PHP 支持基于每个目录的 INI 文件配置。此类文件 仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果你的 PHP 以模块化运行在 Apache 里,则用 .htaccess 文件有同样效果。 除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的
BUUCTF-Web】[极客大挑战 2019]Upload
weixin_49298681的博客
01-05 1048
Upload=> 文件上传漏洞。
BUUCTF_N1BOOK_[第二章 web进阶]文件上传_详解
weixin_43852034的博客
03-04 1059
最后的小插曲:本来以为上传成功之后,用蚁剑砍进去就完事儿了,结果发现居然会报错:嗯???于是直接访问一下上传后的文件:没想到直接得到了flag…后续又把2.php.xxx文件的内容修改为?尝试了一下,发现访问后也是同样的效果。那大概是环境本身做了限制吧…思路应该是没错的,蚁剑虽然说没砍进去…但你就说flag拿没拿到吧!
buuctf文件上传漏洞(Pass1~15)_bucctf文件上传 1
最新发布
2401_84252281的博客
05-16 606
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Buuctf N1BOOK [第二章 web进阶]文件上传
m_de_g的博客
08-17 2789
Buuctf [第二章 web进阶]文件上传 打开题目,发现源代码泄露,初步判断为条件竞争 <?php header("Content-Type:text/html; charset=utf-8"); // 每5分钟会清除一次目录下上传的文件 require_once('pclzip.lib.php'); if(!$_FILES){ echo ' <!DOCTYPE html> <html lang="zh"> <head> <
BUUCTF文件上传知识点总结
qq_49833809的博客
11-13 585
文件上传知识点总结
[CTF]web进阶文件上传
hclimg的博客
12-03 2868
题目:web进阶文件上传 查看题目,底下已经给出了源代码: 服务器对文件进行了白名单设置,允许上传zip、jpg、gif、png文件!我随便上传几张一句话木马图片,均能够上传成功,说明他只对文件的后缀进行验证。上传不难,难的是上传后找不到文件的路径,无法访问。 观察关于目录的代码发现,文件上传后,会随机生成一个MD5目录,把文件放在这个地方,但是MD5目录无法预知,所以难度大大的加大。 通过解读zip文件代码可知,通过zip上传后,服务器会对zip进行解压,放在upload目录下,然后如果这个目录下
buuctf文件上传漏洞(Pass1~15)
yxzrw_TW的博客
10-21 1510
文件上传漏洞笔记
第-章-matlab基础第二次课优秀文档.ppt
12-03
例如,`A(2,3)=76` 将矩阵A的第二行第三列的元素赋值为76。如果下标超出原有矩阵范围,MATLAB会自动扩展矩阵,新区域的元素默认为0。例如,一个2x3的矩阵A被扩展为4x6,新元素自动设为0。 2. 序号与下标的转换 矩阵...
java web图片上传和文件上传实例
09-01
【Java Web 图片上传与文件上传】\n\n在Java Web开发中,图片上传和文件上传是常见的功能需求。这两个过程本质上是相同的,因为图片本质上也是一种文件。在处理这类问题时,开发者通常需要关注以下几个核心知识点。\...
第三章单片机程序设计优秀文档.ppt
12-03
【第三章 单片机程序设计】\n\n在单片机编程中,主要涉及到两种基本的程序设计语言,即汇编语言和高级语言(如C语言)。汇编语言因其直接对应机器指令,执行效率高,能充分利用硬件资源,但编写起来较为复杂。相反,...
web上传文件
04-17
非常好用的一款上传软件。切没用使用期限限制。
电工学题解:第四章 变压器修改.doc
11-29
1. 一次侧额定电压 $U_{N1}$ 和二次侧额定电压 $U_{N2}$ 2. 一次侧额定电流 $I_{N1}$ 和二次侧额定电流 $I_{N2}$ 3. 额定容量 $S_N$ 变压器阻抗变换的一个重要用途是实现阻抗匹配,即采用不同的匝数比将负载阻抗...
VFP第4章程序设计基础(2).ppt
11-18
在第四章“程序设计基础”中,主要讲解了如何在VFP中进行程序设计,包括数据的输入、处理及输出,以及程序的基本结构和流程。\n\n1. **数据库中的永久性关联**:在VFP中,数据库中的表可以通过共同的字段建立永久性...
Web-buuctf-Upload
weixin_52804141的博客
01-20 170
这里两种绕过方法,第一种在浏览器中把java scrabit脚本关了就可以了,第二种更改下后缀文件,改成允许上传的文件后缀就好了。这里改成在把文件后缀改位php,发现不行,就可以试试phtml(这两种后缀都不会被服务器视为php执行)总结,很简单的一道上传题,以前也练过很多,就当一道复习题来做了。上传成功,蚁剑连接就好了,在找到flag文件,获得flag。先上传一个一句话木马,发现存在前端绕过。
BUUCTF--练习场-- basic--上传文件漏洞经典靶场upload-labs-- Pass1-3(Pass4简单尝试)
qq_51550750的博客
01-29 2851
文件上传功能非常常见,上传图片、视频,论坛发送带上附件,邮件发送带上附件等场景 BUUCTF–练习场-- basic–上传文件漏洞经典靶场upload-labs Pass-1 先尝试上传一张正常的照片: 上传成功: 右键,查看图像,得到上传成功的地址: http://07b2a810-8fe2-406b-b1d0-6bce30a755ae.node4.buuoj.cn:81/upload/Chrysanthemum.jpg 然后尝试上传木马: 根据简介中提到的: upload-labs是一
BUUCTF Web upload
H18779083518的博客
05-10 360
script language="php">eval($_REQUEST[1])</script>打开后即得flag:flag{d8c839e5-3aa7-40db-9899-858007fc3778}首先尝试一句话木马上传,尝试过多种绕过手段后发现仍然无法上传,于是我们怀疑是一句话木马被黑名单了。方法二:正常情况上传的文件都会存放在Upload,更可况题目就叫upload。方法一:看bp的回显(我没看见所以选择了方法二)成功上传一句话木马后我们尝试寻找木马的存放路径。找到路径后使用蚁剑连接,连接成功。
Netbook-第二章Web进阶-Web文件上传漏洞
weixin_67565639的博客
12-30 849
(1)如果为zip文件,则检查zip文件下是否存在php文件,有则退出程序,没有则zip文件解压,并把解压之后的文件上传到$tmp_dir这个目录下,上传完成后,再检查uplad这个目录下是否存在非法文件(白名单)。,那么我们可以构造 文件名为 ../1.php文件上传到www这个目录下( ../ 表示上级目录 ./ 表示当前目录) ,这样我们的文件就能被解析。假设我们上传之后的文件保存在upload这个目录下,程序员设置upload目录下文件不能被php解析。
buuctf文件上传漏洞(Pass1~15,网络安全面试题目2024
m0_58269520的博客
04-05 1011
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;在指定字符串中从后面开始的第一次出现的位置,如果成功,则返回从该位置到字符串结尾的所有字符,如果失败,则返回 false。③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛中的一个web题目。其中可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web题目可能存在一些漏洞,比如SSRF(Server Side Request Forgery)漏洞,可以通过对内网web应用实施攻击获取webshell。因此,在buuctf web题目中,可能需要掌握SSRF漏洞的利用和对web应用的渲染函数(render函数)进行利用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [【CTF】buuctf web 详解(持续更新)](https://blog.csdn.net/m0_52923241/article/details/119641325)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [【BUUCTF刷题】Web解题方法总结(一)](https://blog.csdn.net/qq_45834505/article/details/114276572)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [BUUCTFWeb真题学习整理(一)](https://blog.csdn.net/qq_41429081/article/details/98042205)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值