ctfhub 文件上传

已于 2023-01-19 12:57:11 修改
阅读量460 收藏
点赞数
分类专栏: 作业 文章标签: 经验分享 web安全
于 2023-01-17 19:19:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44640313/article/details/128719620
版权

目录

无验证 

前端验证

.htaccess

MIME绕过

00截断

双写后缀

文件头检查

无验证 

这里上传的文件没有限制,直接上传一句话木马

5e998af277d3492aa08ddd06e6c76f8b.png

显示出相对路径

d4046d7ea74140ba80d55e2260f03e4f.png

接下来写post请求查看flag的文件

426506ed19464be6a1c116ec69ba3759.png

可以看到flag_197015395.php,cat即可,在源代码里面就有flag

9ccebcae078e4daeb49716ae5cb5f37c.png

前端验证
 

上传php文件,前端校验不允许上传php文件
14d6e408b21f491a99d5d6a4ea9f46e0.png

 看到题目提示了js前端验证,前端靠JavaScript来进行验证,所以只要禁用JavaScript的功能就可以了

e3962d95904d4df5b56cf205c2f3ce2b.png

abb9a13bd46a42cd81201954f6282140.png

可以看到上传成功,接下来和无验证一样的操作就可以了
c206bff5976e45d890c380d448cde122.png

cabecf5f9c06428fbb4c3d5b0c5ba746.png

d4d28901cdd74e16ab132592e9719c50.png

.htaccess

htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能

先上传.htaccess文件,上传成功后,它会将我们上传的jpg文件解析成php文件

9e39599a8f1a4a149f6607d96b73121f.png

接着上传图片马 a.jpg
cc012f10c8964f7e844384b399cf8e79.png 可以看到上传成功,接下来和无验证一样的操作就可以了

 f9f232f58361474092f51c5b59fdfab2.png

MIME绕过
 

MIME类型校验就是我们在上传文件到服务端的时候,服务端会对客户端也就是我们上传的文件的Content-Type类型进行检测,如果是白名单所允许的,则可以正常上传,否则上传失败。


e8ea4c1102a94b399257b647229ac9fd.png

 这里就需要用BP抓包将Content-Type修改为 image/jpg, 然后发送数据包

163dcaf8fbd1459d9ad265bd90cfbb18.png

可以看到上传成功,接下来和无验证一样的操作就可以了
dbf74c8c1b294c929b67f31eff76cfae.png

 f939afb9b76843c4830eee4ad4292e3d.png

00截断

基础知识:
php是基础c语言实现的,C语言中认为0x00是结束符号,文件上传之所以可以00截断,是因为白名单判断的时候是判断后缀,在进行路径拼接的时候用的其他值,然后在进行move_uploaded_file的时候,这个函数读取到hex值为00的字符,认为读取结束,出现00截断

利用条件:
php版本小于5.3.4
magic_quotes_gpc为off(默认为0n)

首先我们上传一个php文件,进行抓包
4aaa90d352c54a979a7d9fd051d61509.png
 

 修改filename="a.php%00.jpg"

/?road=/var/www/html/upload/a.php%00.jpg
051705ae306c426d94cb22cacfbfe430.png

 在road后添加上a.php%00.jpg    road就会使后面部分失去效果,上传后的路径即被固定

forward可以看到上传成功,接下来和无验证一样的操作就可以了

43fc968a37e8431997761da4c42311b7.png


 因为我们修改了road,所以路径就是/upload/a.php

c181dac210464d04ac0ee2f4a1150494.png

双写后缀

看下源码,这里使用了str_ireplace函数将我们的后缀替换成了空,但是只替换一次,所以双写绕过即可
b93c463ac4a340c199b8a24d0d533ac9.png
 

 上传一个php小马,修改filename="a.pphphp"

af6b2dbc65544536bb07c26e7db7e2eb.png

上传成功,我们看到文件后缀为php,然后用蚁剑连接找到flag
0d4f18f475484700bd782bc55331986c.png

 91603fb97bdb4a0db1d7dd24cfd57fd7.png

文件头检查

直接先传马,抓包
这里把Content-type改为 image/jpg
再在文件内容首部添加GIF89a表示是一个GIF89a图形文件

 b27aa5aa8bd24cf29d6c2203dc55a0a9.png

 forward可以看到上传成功

57917336deae4aaab8d8add93a0ada07.png

 然后用蚁剑连接找到flag

b18f12f4e9df42ad8bf679c0181dacd6.png

0e1G7
关注
专栏目录
ctfhub 文件上传综合
kindyyy的博客
05-18 931
无限制(用bp插入木马也行) 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。 无限制就直接使用蚁剑,先写一个一句话木马(从百度上找找???) (ps:eval()函数:还有php,eval允许执行任何php的代码,而php代码又可以调用系统,post传入的字符串会以php的形式运行)相当于是一句话木马的解释吧.... 然后将他上传到题目中, 上传完成后打开蚁剑,将URL地址复制粘贴进去,后面要记得加上uploa
CTFHub 文件上传
weixin_63289925的博客
03-01 4686
(无验证) 一句话木马:一句木马短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用。用最为常见的php一句话木马为例,<?php?>为php固定规范写法,@在php中含义为后面如果执行错误不会报错,eval()函数表示括号里的语句全做代码执行,$_POST['password']表示从页面中以post方式获取变量password的值。 ...
ctfhub-web-文件上传
最新发布
m0_52484587的博客
08-28 756
● 一般来说,配置文件的作用范围都是全局的,但Apache提供了一种很方便的、可作用于当前目录及其子目录的配置文件——.htaccess(分布式配置文件),● 提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。● 是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。只能上传.jpg,.png,.gif三种格式的文件,前端上传jpg,修改数据包进行上传。
CTFHub文件上传
遇事不决冲冲冲
04-17 1380
MIME绕过 知识点 MIME((Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式每个MIME类型由两部分组成,前面是数据的大类别,例如声音 audio、图象 Image等,后面定义具体的种类,也就是我们抓包时常见的Content-Type。 常见的MIME类型,例如: 超文本
CTFHub-文件上传
m0_51589948的博客
07-10 340
CTFHub-文件上传 无验证 前端验证 .htaccess MIME绕过 文件头检查 00截断 双写后缀 无验证 打开靶场获取信息,为无限制的文件上传,随便写入一个php的一句话木马上传 上传成功并获取上传文件的相对路径 用post传参检测其是否连接成功,测试连接成功。 使用蚁剑连接 在目录中获取flag 前端验证 * .hatsccess MIME绕过 、 文件头检查 00截断 双写后缀 ...
CTFHUB-文件上传
cainiao17441898的博客
03-14 627
无限制 写个一句话木马:<?php @eval($_POST[‘hack’]) ?>,上传写的一句话木马的文件,页面就会返回路径。用中国蚁剑,新建数据写入URL/路径/,密码就是一句话木马里面设置的,我这是hack 添加完数据,在文件管理里就能找到flag 前端验证 1、直接删除onsubmit事件 可以使用浏览器的编辑功能,将页面中的submit事件删除,这样前端就不会对上传的文件后缀名进行检测,就能达到绕过的目的。 。 2.burpsuit抓包 先把木马php文件改成jpg或者别的。再
ctfhub文件上传
2302_80935968的博客
03-18 1003
htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。然后用bp进行抓包,在.php后面加上%00.jpg 这样更改之后放包,会显示上传成功,但是你会发现找不到路径,这个时候可以直接访问url,在url中就可以找到路径了,然后就是用蚁剑链接,后面就是一样的思路。然后用bp进行抓包,在.php后面加上%00.jpg 这样更改之后放包,会显示上传成功,但是你会发现找不到路径,这个时候可以直接访问url,在url中就可以找到路径了,然后就是用蚁剑链接,后面就是一样的思路。
CTFHUB文件上传
09-06
总结来说,CTFHUB文件上传可以***连接服务器,并获得flag。<span class="em">1</span><span class="em">2</span><span class="em">3 #### 引用[.reference_title] - *1* *2* *3* [CTFHub_文件上传]...
CTFHUB-上传文件
鸣蜩十四的博客
08-09 339
index.php文件的源码为: <?php error_reporting(0); if (!isset($_REQUEST['url'])){ header("Location: /?url=_"); exit; } $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $_REQUEST['url']); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_FOLLO
CTF-Hub-文件上传
qq_60905276的博客
11-22 503
1.00截断 00截断通常用来绕过web软waf的白名单限制。 条件:php版本小于5.3.29 2.双写后缀绕过 用于只将文件后缀名,例如"php"字符串过滤的场合; 例如:上传时将Burpsuite截获的数据包中文件名【evil.php】改为【evil.pphphp】,那么过滤了第一个"php"字符串"后,开头的'p'和结尾的'hp'就组合又形成了【php】。 不过为什么老是报错呢? ...
CTFHub-Web-文件上传
IceCream的博客
05-01 1722
1.编写一段PHP木马脚本2.将编写好的木马进行上传3.显示上传成功了4.使用文件上传工具进行尝试5.连接成功进入文件管理6.上翻目录找到flag文件7.打开文件查看flag。
CTFHUB-web-文件上传
2301_79783285的博客
12-23 1446
htaccess是一个纯文本文件,存放着Apache服务器配置相关的指令。.htaccess主要的作用有:URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定IP/IP段、目录浏览与主页、禁止访问指定文件类型、文件密码保护等。.htaccess的用途范围主要针对当前目录。注意:.htaccess文件(特别注意这里文件名不可随意更改,因为 .htaccess 是配置文件)博主这里帮大家把坑踩了,蚁剑死活连不上的原因。
CTFHUB WEB 文件上传(上)
wwwwyyyrre的博客
04-26 857
在浏览器中显示的内容有 HTML、有 XML、有 GIF、还有 Flash ……抓一下包试试 正常情况都是可以抓到包的 如果在你的bp以及代理都没问题的情况下抓不到包并且还有提示该文件不允许上传 那么可能就是使用了js前端验证。因为这道题无验证 说明只要是文件就可以上传 因此上传一个一句话木马 php文件 再用蚁剑连接就能拿到其flag。在文件上传漏洞中 js函数的主要作用就是验证你上传的文件类型是不是它允许的文件类型。了解了这些 我们正式进入实战 这里用的是ctfhub技能树的文件上传题目。
CTFHub文件上传
m0_63563528的博客
01-23 916
CTFHubweb-文件上传
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值