[MRCTF2020]你传你呢(文件上传,.htaccess)

最新推荐文章于 2024-04-29 21:03:58 发布
最新推荐文章于 2024-04-29 21:03:58 发布
阅读量4k 收藏 6
点赞数 2
分类专栏: buuctf_web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44348894/article/details/105350801
版权

进来:
在这里插入图片描述
上传一个一句话php,果然不行:
在这里插入图片描述
改成jpg后缀,上传成功:
在这里插入图片描述
接着写一个.htaccess文件去把.jpg解析成.php,如下:

AddType application/x-httpd-php .jpg

上传失败,拿去抓包改一下content-type,注意,文件名在这里一定改成.htaccess才行:
在这里插入图片描述
接着连上菜刀在根目录找到flag(用菜刀一句话里传参方式要是POST才行):
在这里插入图片描述
如果一句话木马传参方式为G

最低0.47元/天 解锁文章
k0f1i
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[MRCTF2020] web题-你你ma呢
BROTHERYY的博客
08-18 682
复现环境:buuoj.cn 跟祖安人打个招呼吧~ 上.jpg的马子 复制路径 /var/www/html/upload/9a5ee638f8d54695e513b45bd66602c7/1.jpg 上.htaccess解析jpg 到根目录找flag flag{f36857f9-ac68-4756-b791-4ce7f2c8f393}
【BUUCTF之[MRCTF2020]你你呢 1】
qq_40646572的博客
10-25 5324
首先,正常上图片文件,竟然因为文件大小的问题,上失败,就挺难受。不过还好,总算知道是什么原因不能上。总体来讲,这道题,难度是可以的,需要一步步的进行尝试。
BUUCTF例题知识点(二)
2301_80911344的博客
04-29 435
file_get_contents() 把整个文件读入一个字符串中。该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持,还会使用内存映射技术来增强性能。
[MRCTF2020]你你呢
m0_62905261的博客
09-07 449
[MRCTF2020]你你🐎呢
[MRCTF2020]Shit
sky123博客
01-18 874
main函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax int v4; // eax char v5; // al int v6; // eax int v7; // eax int v8; // eax char v10[52]; // [esp+4h] [ebp-38h] BYREF v3 = sub_401890(); std::ostream
BUUCTF之[MRCTF2020]你你呢1
weixin_66294723的博客
10-12 759
很明显是文件漏洞,通过🐎可知应该是要一个马进去,一开始把自己制作的图片马进去后自己的图片马不行,content-type也没问题后上网找wp发现如果一系列%00,改大小写,图片马之类都不行的话 ,或者上之后 但是菜刀连接不了,回显显示没有数据的话,就代表要改配置文件
Apache服务器中.htaccess文件的实用配置示例集锦
09-10
Apache服务器中的`.htaccess`文件是一个非常重要的工具,它允许网站管理员无需直接修改服务器的主配置文件即可控制和定制特定目录的行为。`.htaccess`文件主要用于实现一系列HTTP服务器的指令,如URL重写、访问控制...
nginx支持.htaccess文件实现伪静态的方法分享
01-20
在Google上搜索的资料很多人都说nginx目前不支持.htaccess文件,我按照nginx的规则试验了一下,结果发现nginx是完全支持.htaccess文件的! 方法如下: 1. 在需要使用.htaccess文件的目录下新建一个.htaccess文件, ...
21个常用的apache .htaccess文件配置技巧分享
01-10
Apache Web 服务器可以通过 .htaccess 文件来操作各种信息,这是一个目录级配置文件的默认名称,允许去中央化的 Web 服务器配置管理。可用来重写服务器的全局配置。该文件的目的就是为了允许单独目录的访问控制配置...
信息安全技术基础:利用.htaccess文件.pptx
11-01
【信息安全技术基础:利用.htaccess文件.pptx】 在信息安全领域,理解并防范各种攻击手段至关重要。其中,.htaccess文件的滥用是常见的Web应用安全问题之一。.htaccess文件,全称是"HyperText Access",是...
妙用.htaccess隐藏网页文件扩展名
09-30
此外,如果你的网站中同时包含其他文件类型,可能需要对这些文件类型进行额外的处理。如果遇到HTTP 500错误,通常是因为重写规则配置不当或服务器权限问题,需要仔细检查并调试代码。 总的来说,隐藏网页文件扩展名...
解决 linux tab 不提示问题, cannot create temp file for here-document:No sapce left on device
汇杰IT博客
07-22 1475
1、问题发现 我要进一个文件夹,然后Tab键进行补全,然后呢就显示: 2、解决问题 查看磁盘文件 df -h 发现根目录爆满然后进入根目录,查看那个文件占的内存比较多, cd / du -sh * 我查看之后是/var文件下的下的log日志文件比较多,然后删除日志文件 释放完成后,即可 ...
.htaccess的利用方法和技巧
snowlyzz的博客
08-10 1939
关于htaccess 的妙用
BUUCTF Web [MRCTF2020]你你呢1 & [极客大挑战 2019]HardSQL1
网安小趴菜
09-07 716
BUUCTF Web [MRCTF2020]你你🐎呢1 & [极客大挑战 2019]HardSQL1
CTFHub-文件-.htaccess文件
qq_60905276的博客
11-19 1227
了解一下题目所说的htaccess文件。 他是Apache服务器中的一个配置文件,它负责相关目录下的网页配置,属于后端中间件的验证。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。看来权限还很大啊。 其中.htaccess文件内容:SetHandler application/x-http-php的意思是设置当前目录所有文件都使用php解析,那么无论上任何文件,只要符合php语言代码
BUUCTF [MRCTF2020]你你呢
墨子辰的博客
02-04 665
考点:.htaccess文件 先上一个正常图片,发现成功上而且能够访问。 直接一个1.sdga丢上去,看看返回包。 发现可以成功上。 可能有人到这里就懵了,为什么要上1.sdga,它是个神马文件类型???? 对,这里我上了一个不存在的文件类型,这样可以方便我们一下判断出是白名单还是黑名单限制。 这里既然能够上一个不存在的文件名,那么说明这里是黑名单限制,so接下来就是黑名单上的招式咯。 看好了 别眨眼·~~~ No.1:上 .htaccess No.2:上 .user.ini
CTFHub技能书解题笔记-文件-.htaccess
qq_43006864的博客
01-05 1093
打开题目 这里好好看看题干,信息量蛮多的, 索性查查.htaccess。内容蛮多的,这里我就概括一下这道题用到的重点。 htaccess文件是Apache服务器中的一个配置文件,可以帮我们实现:改变文件扩展名。 然后,先构造一个.htaccess文件文件内容是将文件扩展名改为PHP。方便我们执行马子。 附上文件内容:SetHandler application/x-httpd-php 打开链接 上.htaccess文件。 然后上.JPG格式的php马子。 其.
验证绕过全解析
weixin_33941350的博客
04-19 672
目录 0x01 客户端验证绕过(javascript 扩展名检测)0x02 服务端验证绕过(http request 包检测) - Content-type (Mime type) 检测 0x03 服务端验证绕过(扩展名检测) - 黑名单检测 - 白名单检测 - .htaccess 文件攻击 0x04 服务端验证绕过(文件完整性检测) ...
buuctf web
gudugeji的博客
04-24 338
1.warmup 查看源码 2.随便注 堆叠注入 爆数据库 爆表,有两个表 构造playload:http://6d5326a4-99c2-423f-ab6f-46b44dc1853d.node3.buuoj.cn/?inject=1nject=1%27;SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435...
文件.htaccess绕过
最新发布
05-11
文件是网站开发中常见的功能之一,但如果上文件包含恶意代码,就可能造成严重的安全漏洞。为了防止这种情况的发生,很多网站都会对上文件进行限制和检测。然而,黑客可以利用一些漏洞来绕过这些限制,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值