Web之buuctf-[SUCTF 2019]CheckIn

最新推荐文章于 2024-07-09 23:47:49 发布
最新推荐文章于 2024-07-09 23:47:49 发布
阅读量696 收藏
点赞数
分类专栏: ctf 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43682582/article/details/115269437
版权

[SUCTF 2019]CheckIn

打开后可以看到:
在这里插入图片描述

显然这是一个文件上传,传一个木马看看:

在这里插入图片描述不合法,尝试上传一个图片马:
在这里插入图片描述“<?”被过滤了,换一个asp的:
在这里插入图片描述意外收获,看来是基于文件头来检测的,然后尝试用蚁剑来连连看:
在这里插入图片描述emmm,返回数据为空,又试了好几次,不行。。。
看了下师傅们的wp,才知道还要配合文件包含漏洞来一起才行,而且还要用到一个.user.ini的php配置文件(相关知识可百度,嘿嘿嘿),总之,就是要先上传一个.user.ini配置文件,再上传自己的一句话木马才行。

传.user.ini:
在这里插入图片描述再传一句话木马:
在这里插入图片描述
在这里插入图片描述

成功连接:
在这里插入图片描述

在这里插入图片描述

总结

学到了.user.ini的相关知识,就很棒。

参考链接

wp&.user.ini

元泱
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf web 13、[SUCTF 2019]CheckIn
m0_46412682的博客
07-16 1070
buuctf web 13、[SUCTF 2019]CheckIn 开始的页面 1、 先上传一个正常的照片 2、再上传一个php文件,提示illegal suffix 3、上传一个只含一句话木马的后缀为gif的文件,提示内容中有<? 既然过滤了<? ,所以用 4、上传7.gif,但是提示不是gif类型,exif_imagetype是文件内容的头部看是否是对应的照片类型 我们只需要再文件中填写对应的照片头部 上传成功 5、但是要怎么样才能让照片木马执行,我们想到.htaccess
BUUCTF [SUCTF 2019]CheckIn
qq_42158602的博客
02-07 1587
拿到题进行简单的测试,发现修改content-type和利用特殊扩展名php5、pht等都没有成功 发现添加图片头文件就可以绕过 GIF89a 上传php文件的时候发现过滤了<? 绕过检测 <script language='php'></script> 构造图片马 GIF89a <script language='php'>eval($_GET['...
LinkGame:一个连连看小游戏
07-13
LinkGame 一个连连看小游戏
第二届赣网杯WEB第一题WP
冰封 战戟
04-27 1791
第二届赣网杯WEB第一题WP
CTF实战训练日志——2021-6-27(二)
stybill的博客
06-27 4万+
题目: 解题: 传入flag参数:http://114.67.246.176:15528/?what=flag
ctf练习之闯关游戏
SDM_JH的博客
07-22 1769
1.进入第一关,直接点开F12调试。 2.发现可能存在1.php.bak文件,查看文件发现确实存在。 3.发现一个跳转文件,进入来到第二关。 4.没有什么特别的发现,随便输个数点击按钮。 5.跳出一个弹框,点击确定后会返回the2dn.php,想着应该是要绕过点击进入3rd.php,所以直接使用重定向语句: 6.进入第三关,修改标签display为block即可。 ...
c++经典游戏(连连看看,贪吃蛇。)
10-12
用c++编的连连看和贪吃蛇,学习c++的绝好材料。
hence-flight-checkin
05-06
您必须先安装凉亭: npm install -g bower 然后,继续并方便地安装元素的依赖项: npm run install-deps可用的Gulp命令$ gulp将编译资产,通过实时重载为您的Web组件提供服务,转换es6,并在观察src文件的同时将js ...
42-qr-checkin:二维码签到
04-01
首尔42少年 $ git clone https://github.com/innovationacademy-kr/42-qr-checkin $ cd 42-qr-checkin $ npm install ... 打开Web浏览器并导航到以查看实际示例。 42 API清单 이문서의 Internet上发布。
liang-chen-yun-checkin
03-31
报到1:前叉仓库2:在仓库的秘密中记录账号密码设置->秘密2.1: 添加 EMAIL2.2: 添加 PASSWORD
genshin-daily-checkin
04-23
怎么跑 在Docker Swarm上运行 例子: docker service create --name genshin-daily-login truong996/genshin-daily-login 仅运行Docker docker run -d truong996/genshin-daily-login
sau-class-checkin
04-02
关于 这是一个脚本,如果设置正确,它将告诉SAU您的位置 因为大多数课程都是在一个小时开始的,并且一个好学生应该在该时间之前到达并办理登机手续,所以脚本会设法解决这个问题。 如果您在一个小时的更改前5分钟...
CTF线下赛AWD总结
YICONGITSME的博客
09-20 3万+
AWD     记录一下自己最近参加的线下攻防比赛,没时间学习了,就准备了几天,果然不出意外的被安全专业的大佬打得很惨。 缺点是不会攻击,我和我队友两个人就只有防,AWD防了400分,综合渗透拿了200分。 感觉自己的知识欠差很多,代码审计能力弱,写脚本能力弱,sql注入我一直学不会。最重要的是比赛前没有真正练习过,所以比赛时才没把技能发挥出来。谨记:多实践,学好代码审计,sql注入...
爆破词汇连连看
编程小栈
08-16 1166
你必须非常努力,才可以看起来毫不费力!人际关系类的词汇 社会生活、友谊、无私、团结 share ideas build a good relationship beneficial to their development adapt to the changing world help others have a sense of fulfillment b
在进行数据结构实验中—连连看的设计时遇到的问题
苏柳欣的博客
05-27 1123
在进行数据结构实验中—连连看的设计时遇到的问题 由于VS 项目中默认使用的是Unicode的字符集,所以解决方案是 点击菜单栏的——项目——项目属性——常规——字符集——使用多字节字符集 参考:关于“Error: “const char *” 类型的实参与 "LPCWSTR"类型的形参不兼容”错误的解决方案 记录下发现的问题 2019年5月27日10:10:56 ...
CTF web总结
热门推荐
giantbranch的专栏
04-09 7万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/50959166 本文根据自己的做题经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
CTF隐写术之总结 让你少走弯路
艺博东的博客
10-04 1万+
1、reverseMe 链接:https://pan.baidu.com/s/1wO3WN3Ss19LHwjGfY0r4YQ 提取码:ed9n 用画笔工具打开—>旋转—>垂直旋转 效果 flag{4f7548f93c7bef1dc6a0542cf04e796e} 2、a_good_idea 链接:https://pan.baidu.com/s/1xC69L9r6qPe6jp8K1_lb3Q 提取码:ooit 题目描述: 汤姆有个好主意 ...
CTF中常见的加解密(经典)
落花四月
03-26 1万+
今天一早起来,就要去做早操,心里苦呀! 但是不影响我为未来的学弟学妹整理资料的心情呀!希望我的一些拙见能够帮助到学弟学妹! 永远爱你们的 ———— 新宝宝 ASCII编码 ASCII 码使用指定的7 位或8 位二进制数组合来表示128 或256 种可能的字符。标准ASCII 码也叫基础ASCII码,使用7 位二进制数(剩下的1位二进制为0)来表示所有的大写和小写字母,数字0 到9、标...
什么是RPC?有哪些RPC框架?
最新发布
yuiezt的专栏
07-09 677
RPC(Remote Procedure Call,远程过程调用)是一种允许运行在一台计算机上的程序调用另一台计算机上子程序的技术。这种技术屏蔽了底层的网络通信细节,使得程序间的远程通信如同本地调用一样简单。RPC机制使得开发者能够构建分布式计算系统,其中不同的组件可以分布在不同的计算机上,但它们之间可以像在同一台机器上一样相互调用。
2021gkctf checkin
02-29
2021gkctf checkin 是一个CTF(Capture The Flag)比赛,是由GKSEC团队举办的。CTF比赛是一种网络安全竞赛,旨在测试参赛者在网络安全领域的技能和知识。 在2021gkctf checkin中,参赛者需要完成一系列的网络安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值