BugkuCTF 文件上传测试

最新推荐文章于 2024-07-05 19:43:59 发布
最新推荐文章于 2024-07-05 19:43:59 发布
阅读量130 收藏
点赞数 1
文章标签: php
原文链接:http://www.cnblogs.com/ECJTUACM-873284962/p/8988070.html
版权

前言

写了这么久的web题,算是把它基础部分都刷完了一遍,以下的几天将持续更新BugkuCTF WEB部分的题解,为了不影响阅读,所以每道题的题解都以单独一篇文章的形式发表,感谢大家一直以来的支持和理解,共勉~~~

点开链接一看,是要上传一个php文件

我们构造一个1.php文件上传一下试试看

显示非图片文件,那我们构造一个1.jpg文件试试看

提示非php文件,我们最终要提交的文件是PHP文件,我们就需要把这个数据包给抓下来,改包发送到服务器端

于是我们上传一个1.jpg文件,用BP进行抓包,发送到repeter,把文件名改成1.php,Go一下,Flag直接就爆出来了!!!

 

转载于:https://www.cnblogs.com/ECJTUACM-873284962/p/8988070.html

weixin_34384915
关注
ctfhub文件上传
2302_80935968的博客
03-18 1006
htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。然后用bp进行抓包,在.php后面加上%00.jpg 这样更改之后放包,会显示上传成功,但是你会发现找不到路径,这个时候可以直接访问url,在url中就可以找到路径了,然后就是用蚁剑链接,后面就是一样的思路。然后用bp进行抓包,在.php后面加上%00.jpg 这样更改之后放包,会显示上传成功,但是你会发现找不到路径,这个时候可以直接访问url,在url中就可以找到路径了,然后就是用蚁剑链接,后面就是一样的思路。
bugku ctf 文件上传测试
qq_42777804的博客
08-08 1100
打开后发现 让你上传php文件 接着试着上传       PHP文件       但是   为什呢???????? 它居然提醒你   非图片文件 之后   你试着 上传  图片文件   然后会出现     此时  你肯定会  心中无数只草泥马路过!!!!     接着  仔细回想    题目   上传PHP文件,,但会提示让你上传图片文件   这时便可用  ...
BugKu文件上传测试
D-R0s1的博客
10-08 574
  今天在BugKu刷web题的时候,遇到了一个需要文件上传的题目,叫做文件上传测试,这个方法是我之前没有和大家分享过的,今天和大家分享一下个关于文件上传测试这道题目所涉及的有关过程,我是一个刚入坑的小白,分享出WriteUp的目的就是和广大刚入门的小白一起进行学习交流,有误之处还请路过的大牛多多指正。 打开这道题,题目要求上传一个PHP文件   我们很乖的找了一个php文件上传了(php文件可...
文件上传】01ctfer 文件上传获取flag
wj33333的博客
11-16 621
01ctfer 文件上传获取flag
CTF--文件上传
woshisz0413的博客
11-27 2362
.php上传被过滤时可以用的别名:php2, php3, php4, php5, phps, pht, phtm, phtml 可以上传的.php文件思路 (1)一句话木马: <?php eval(POST[′a′]);?>(2)绕过过滤方式1:<scriptlanguage="pHp">@eval(_POST[&...
BugkuCTF——最新web篇writeup(持续更新)
1匹黑马
11-16 3834
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
Bugku CTF 每日一题 xxx二手交易市场
彼岸花苏陌的博客
01-17 3434
xxx二手交易市场 打开看见是一个网站 所以从零开始测试 1.首先点开一个商品 往下滑有回复框 但是要先注册 所以等注册了再来测试 2.搜索栏也不能用 暂时放过,不过在二手界面发现了一个搜索框 输入一般的sql查询发现好像过滤了# ‘’“”等 3.求购 公告栏也没什么可以利用的 4.发现登录注册框 先爆破一下,不过有验证码爆破不行还要识别验证码,先放放 5.先注册一个账号 看了一下功能,先上个商品看看? 额 要管理员验证 走不通 邮箱签名那块也是有输入验证 再去看看回复框 好像没什么用 再翻了翻 还有上
BugkuCTF(Web) WriteUp
CallMeSa1tyFish的博客
08-06 6147
Web部分 web2 点开以后发现是满屏的滑稽,按照国际惯例,查看源代码发现flag 文件上传测试 用burp抓包修改文件名后缀为.php 计算器 修改最大长度限制 web基础$_GET 题目如下 $what=$_GET['what']; echo $what; if($what=='flag') echo 'flag{****}'; 直接输入?what=fla...
BugKuCTF_WEB题解报告
whatacutepanda的博客
03-19 5781
在学习CTF中,写点东西记录自己的学习,也算是一个反思吧。http://ctf.bugku.com/challenges                                                   web2:这个只用简单的按F12就能看到文件上传测试:我们首先随便传入一个PHP文件尝试一下发现提示说非图片文件那么我们再尝试传入一个图片然后我们思考一下题目要求说上传一个PHP...
ctf-web入门-文件上传
whisper921的博客
05-28 4250
Web 151 考点:后端无验证,前端校验 查看源码可以发现只能上传png图片 修改为php 写一个php文件上传一句话木马 可以发现已经成功上传 查看上级目录发现可疑文件 查看flag.php文件内容得出flag 得到flag Web 152 考点:绕过前端校验 解题思路: 经过一系列的方法测试上题的解题方法并不适用于本题。直接改前端,后端会校验,文件不合格。那就抓包一下。 将Content-Type内容修改成image/png,重发,发现成...
CTF--WEB--文件上传
yanfangjie的博客
01-06 3862
前端验证 上传一个一句话木马,扩展名改成允许上传的扩展名。 在把.jpg改成.php 上传的路径在这里 我们可以使用蚁剑来连接 连接成功,得到flag。
ctf常见文件上传
qq_61988806的博客
03-03 5812
ctf文件上传
ctf 文件上传测试
qq_35191331的博客
08-12 2380
题目链接:http://103.238.227.13:10085/ 根据题目上传了一个php文件,上传之后,提示 非图片文件,之后上传一个图片文件,提示 非php文件 所以我就尝试改上传的文件数据 需要使用的火狐浏览器中的 FoxyProxy Standard插件和 Burp1.6工具 第一步:我选择上传一个图片文件,之后在FoxyProxy Standard设置为代理服务
2024年最全CTFshow web入门——文件上传_ctfshow文件上传,给大家安排上
2401_84520377的博客
05-05 1238
上传一个图片木马,发现上传不了,经过一系列的尝试发现是对文件内容作了些过滤,过滤了php,所以采用简短的语句进行绕过。经过一系列的方法测试上题的解题方法并不适用于本题。直接改前端,后端会校验,文件不合格。剩下的步骤与151相同查看上级目录,发现flag.php,查看flag.php内容得到flag。那就直接输出flag算了,不搞一句话了。要修改的图片的路径,1.png是使用的文件,可以不存在。查看flag.php文件内容得出flag。下面的代码可以检测是否有gd库的存在。将生成的图片上传,bp抓包。
CTF--这好像不是文件上传
浅笑996的博客
06-28 722
打开题目F12看到一个被注释的跳转。 访问可以知道是一个文件包含 经过测试,该文件禁止了input、data关键字。并禁止了phar://协议。 使用php://filter读取题目源码得到 http://47.94.221.39:8003/index.php?filename=php://filter/read=convert.base64-encode/resource=index.php 读取upload.php文件源码如下: 可以看出upload文件将上传..
网络渗透CTF实践:获取靶机Web Developer 文件/root/flag.txt中flag
yellowO的博客
12-27 4983
实验目的:通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。(Dirb 是一个专门用于爆破目录的工具,在 Kali 中默认已经安装,类似工具还有国外的patator,dirsearch,DirBuster, 国内的御剑)截图。利用该插件可能存在的漏洞。pwd查看当前所在的目录,cd切换到/var/www/html目录下,ls查看当前目录下的内容,找到wp-config.php文件。
CTFshow | 文件上传
m0_60651303的博客
08-04 807
var/log/nginx/ 目录是 NGINX 的默认日志位置,可以从中找到一个 access.log 文件和 error.log 文件,include函数包含日志查看日志内容。2、看一下upload文件下有index.php,说明可以通过.user.ini文件来上传。文件上传漏洞是指用户上传了一个可执行的脚本文件,而且通过这个脚本文件获得了执行服务端命令的能力。1、几经尝试,发现php不能通过,phP可以通过,说明过滤掉了php。过滤了php,system,{},和分号,直接执行命令。
[CTF]-Web:文件上传题综合解析
最新发布
2301_79326813的博客
07-05 485
正常上传一句话木马的php,连接蚁剑即可。
2021 BugKu CTF AWD排位赛真题解析
BugKu 2021 CTF AWD排位赛真题涵盖了信息安全领域中一项重要的技能竞技——Capture The Flag(CTF)的高级竞赛部分,即AWD(Attack With Defense,攻防对抗)模式。该模式特别强调攻防兼备的技能,要求参赛者在进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值