php end 上传 ctf,代码审计_文档上传ctf题 ~ Huuuz

最新推荐文章于 2023-03-23 00:20:36 发布
最新推荐文章于 2023-03-23 00:20:36 发布
阅读量416 收藏 1
点赞数
文章标签: php end 上传 ctf

网鼎杯第二场 wafUpload

题目<?phpm

#$sandbox = '/var/www/html/upload/' . md5("phpIsBest" . $_SERVER['REMOTE_ADDR']);

$sandbox = '';

[email protected]($sandbox);

[email protected]($sandbox);

if (!empty($_FILES['file'])) {

#mime check

if (!in_array($_FILES['file']['type'], ['image/jpeg', 'image/png', 'image/gif'])) {

die('This type is not allowed!');

}else{

echo "pass 1n";

}

#check filename

$file = empty($_POST['filename']) ? $_FILES['file']['name'] : $_POST['filename'];

if (!is_array($file)) {

$file = explode('.', strtolower($file));

}

$ext = end($file);

if (!in_array($ext, ['jpg', 'png', 'gif'])) {

die('This file is not allowed!');

}else{

echo "pass 2n";

}

$filename = reset($file) . '.' . $file[count($file) - 1];

if (move_uploaded_file($_FILES['file']['tmp_name'], $sandbox . '/' . $filename)) {

echo 'Success!';

echo 'filepath:' . $sandbox . '/' . $filename;

} else {

echo 'Failed!';

}

}

show_source(__file__);

?>

Upload Your Shell

Filename:

思路

审计源码可以知道,代码中用 end 函数取到上传文档的后缀并判断,用 reset 函数返回的值作为文档名

根据题目,需要绕过两层判断。

1.第一层,直接抓包修改 MIME 为 image/png 就行了。

2.第二层,构造 filename 字段为数组

仔细看 html 代码中提供了一个 filename 字段,在下面这句代码的判断中,会先查看是否有直接 post 提交的 filename 字段,如果有的话就使用这个字段的值$file = empty($_POST[‘filename’]) ? $_FILES[‘file’][‘name’] : $_POST[‘filename’];

如果没有POST该字段,$file变量取上传时的name,即$_FILES[‘file’][‘name’]

若$file文档名不是数组,就对字符串中的点号. 进行explode分割,分割成数组

如上传aa.bb.php会被切为

[0] = > ‘aa’

[1] => ‘bb’

[2] => ‘php’

这样的数组

获取扩展名代码$ext = end($file);

利用了end函数,这个函数可以返回数组的最后一项。

也就返回了最后的php作为$ext,再经过判断ext是否是jpg、png、gif的一种。

绕过

利用end reset函数的缺陷

举个例子:<?php

$arr = array();

$arr[0] = 'first';

$arr[1] = 'second';

$arr[2] = 'third';

var_dump($arr);

echo "the result of reset: ".reset($arr)."n";

echo "the result of end: ".end($arr);

?>

end 函数原本的作用就是返回数组的最后一个元素,在上面看的是正常的。但是如果我们这里把对数组赋值的顺序换一下(先给 arr[2] 赋值),可以看到结果就变了。

继续尝试会发现 reset 函数也是一样,第一个给数组赋值的值就是 reset 函数返回的值,并不一定是arr[0]。

所以构造playloadfilename[1] = php

filename[0] = png

end取的是png能通过校验

在后面拼接 $filename 时候,再一次拼接到后缀名,即

此时$file[count($file) - 1] 取到的就是$file[2-1]->$filename[1]

最后拼接出了 php.php,就达到了上传 shell 的目的。

# 文档上传   # 代码审计   # ctf

本博客所有文章除特别声明外,均采用 CC BY-SA 3.0协议 。转载请注明出处!

牛保书
关注
ctf 图片 php_一次ctf文件上传php代码审计
weixin_35753291的博客
03-09 787
朋友发的一个ctf,做了好久才做出来,记录一下。0x01 源码highlight_file(__FILE__);@mkdir("./upload");if (isset($_POST['submit'])) {$is_upload = false;$text = null;if(!empty($_FILES['upload_file'])){$allow_type = array('image/...
ctf 图片 php_CTF-文件上传
weixin_39897758的博客
03-09 3008
CTF-文件上传写在前面:文件上传漏洞常用于获取webshell,从而取得对目标网站(系统)的控制权。要获取shell,需要: 1.知道上传后文件所保存位置(不知道那就猜、爆破) 2.上传后文件的名字(是否被更改)00一句话木马一句话木马原理及不同类型:https://baike.baidu.com/item/%E4%B8%80%E5%8F%A5%E8%AF%9D%E6%9C%A8%E9%A9%A...
小白的CTF之路之文件上传(三)
glass_york的博客
01-14 385
文件上传
你不知道的文件上传漏洞php代码分析
12-18
漏洞描述 开发中文件上传功能很常见,作为开发者,在完成功能的基础上我们一般也要做好安全防护。 文件处理一般包含两项功能,用户上传和展示文件,如上传头像。 文件上传攻击示例 upload.php <?php $uploaddir = 'uploads/'; $uploadfile = $uploaddir . basename($_FILES['userfile']['name']); if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)){ echo "File is valid, and was suc
ubuntu php 无法执行exec_从一道CTF目谈PHP中的命令执行
weixin_39756696的博客
11-23 229
原创 Xenny 合天智汇 快睡的时候,打开B站发现有位用户留言,大意就是让我帮忙看一道,正好当时有空,于是就打开了他发的链接,代码如下很明显是一道PHP代码审计目,而且只需要绕过第三行的if即可进行任意命令执行。解决思路看了代码之后觉得是道普通的目,对于/a-zA-Z/这个正则表达式,我们可以利用PHP动态函数的特性,构造出字符串即可。对于想要的字符串,我们可以通过以下三种方式来构造:1...
ctf web方向与php学习记录17之文件上传
这周末在做梦的博客
10-11 196
以我目前的见识来说,文件上传就是将木马植入服务器,获取权限,拿到flag的一类型。 这里以ctfhub的目为例,介绍所接触目的相关原理。 首先是前端验证,由于网上都有详细的wp,在此不过多介绍。 JavaScript 表单验证 JavaScript 可用来在数据被送往服务器前对 HTML 表单中的这些输入数据进行验证。 被 JavaScript 验证的这些典型的表单数据有: 用户是否已填写表单中的必填项目? 用户输入的邮件地址是否合法? 用户是否已输入合法的日期? 用户是否在数据域 (numeric
CTF-中文件上传(2)
欢迎来到神林的博客
04-18 7350
0x00:二次渲染 今天上午刚刚结束的DDCTF真的是让人脑壳很大,除了膜拜一波大佬之外,还get到了很多的新知识: 文件上传中,大部分目回绕求我们上传图片格式,而我们就会伪造一些图片绕过验证,一些简单的前端验证还有一些服务器端的验证,都是比较简单的,但是有的时候就会涉及到比较困难的知识点,比如今天要说的:二次渲染 所谓二次渲染: 就是根据用户上传的图片,新生成一个图片,将原始图片删除,将新图片...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
md5.zip_ctf的md5_md5 ctf_md5 ctf_md5解密 ctf_解密
09-20
"ctf的md5"和"md5 ctf"标签暗示了这是一个关于MD5的CTF挑战,可能涉及到以上提到的一种或多种解密技术。参赛者不仅需要了解MD5的基本原理,还可能需要掌握Python编程、密码学知识,甚至数学和逻辑推理能力,以解决...
CTF工具之seay源代码审计系统(web).rar
09-16
CTF工具之seay源代码审计系统(web)】是一个专门为网络安全竞赛(CTF,Capture The Flag)设计的源代码审计工具,主要用于Web安全领域。这个工具的主要目的是帮助参赛者或者安全研究人员检测和分析Web应用程序中...
ctf php代码审计 绕过,Bugku CTF代码审计记录
weixin_35870524的博客
04-11 832
前言此笔记为在Bugku CTF平台上做代码审计目的过程,也算是一篇wp吧extract变量覆盖extract($_GET):$_GET:表示在传递参数时,URL通过get的方式传参,传输的数据以数组的形式封装在$_GET中extract():从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量file_ge...
CTF-WP-NO_WAF_UPLOAD
dahege666的博客
12-18 247
知识点:扫目录、so库逆向 打开目后只有登录功能,可以先尝试一下扫目录 最后发现一个www.zip文件,然后访问此目录,将文件下载下来 打开php文件后内容看不懂,先用这个php文件上传试一 注册后浏览文件上传上传后直接显示目录,然后访问这个目录 发现上传的文件可以被目标服务器解析,文件名也没有修改 说明目标服务器支持扩展加密 然后尝试一下上传一个常见的一句话,获取文件路径后访问,发现不能解析,但是它并不是不解析所有的php, 之前是可以访问Phpi...
网鼎杯第二场 wafupload详解
publicStr的博客
08-26 1936
0x00 有些wp里比较简略的内容,略做些分析,顺便记录点学到的姿势   0x01 wafupload 先放源码,标了几处重点。 详细分析一下代码 第一个判断MIME就是content-type是不是image/jpeg,在burp中抓包直接改掉即可。 第二个判断比较关键,判断扩展名是否是jpg、png、gif   问出在代码是如何获取扩展名的。 1、首先,文件被上传时,判...
从一道CTF目谈PHP中的命令执行
蚁景网安学院
03-11 2042
快睡的时候,打开B站发现有位用户留言,大意就是让我帮忙看一道,正好当时有空,于是就打开了他发的链接,代码如下<?php show_source(__FILE__); $mess=...
CTF】文件上传(知识点+例)(1)
最新发布
qq_53099119的博客
03-23 5697
有的站点会出现仅进行了前端校验的情况(一切在前端做的安全防护,都是耍流氓),由于前端页面的源码是我们可以随意更改的,因此可以通过找到进行过滤的指令,更改成我们想要的功能即可。假设接下来就可以上传一个名为1.png的木马文件,植入后门,将其上传后,该文件虽文件后缀名为png,但会被当作php类型的文件进行解析,其中的一句话木马也能够被正常执行。因此,通过使用.user.ini,我们可以任意指定包含一个文件,这个文件可以是我们自己上传的木马文件,从而通过该木马文件提供后门来获取当前服务器的webshell。
文件上传漏洞详解(CTF篇)
热门推荐
nobugnomoney的博客
09-16 1万+
需要了解的前置知识: 1.什么是文件上传: 文件上传就是通过流的方式将文件写到服务器上 文件上传必须以POST提交表单 表单中需要 <input type="file" name="upload"> 2.一句话木马 <?php eval($_POST['a']) ?> 其中eval就是执行命令的函数,**$_POST[‘a’]**就是接收的数据。eval函数把接收的数据当作PHP代码来执行。这样我们就能够让插入了一句话木马的网站执行我们传递过去的任意PHP语句。这便是一句话木马
文件上传漏洞绕过及代码审计
11-04
<img src="https://img-bss.csdn.net/202004280957177778.jpg" alt="" />
XCTF 高校战“疫”网络安全分享赛 WEB_WP
qq_40648358的博客
03-10 2628
文章目录XCTF 高校战“疫”网络安全分享赛easy_trick_gzmtuhackmefmkqPHP-UAFnwebsqlcheckin XCTF 高校战“疫”网络安全分享赛 easy_trick_gzmtu 首先说一下这个的脑洞确实强 打开目后,是一个好看的博客,源码里提示?time=Y或者?time=2020 测试得存在盲注的,但是当构造payload的时候,一直是500,猜测是...
2019 ISCC CTF挑战:代码审计解密PHP脚本
这道目属于代码审计类别,主要考察参赛者对PHP函数的理解和利用,特别是涉及到的缺陷或特性分析。挑战者需要访问靶机URL ,并解析给出的PHP脚本来获取flag。 目中的关键代码首先会从`$_GET`参数中获取`value`和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值