[MRCTF2020]你传你呢1

已于 2024-07-09 11:13:03 修改
阅读量188 收藏
点赞数 2
文章标签: 网络安全
于 2024-07-09 11:12:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44833249/article/details/140289841
版权

文件上传

错误方法:

修改后缀,通过结果发现应该是黑名单过滤

修改后缀,修改mime值,添加文件头幻术都不能绕过

我就去看了是什么服务器,发现是

openresty服务器,是属于nginx的一种,于是尝试传.user.ini文件

再传带有一句话木马的2.jpg文件

然后访问它

嗯???!!!空?

没头绪了,看下大佬wp

正确方法

发现是要传.htaccess文件,但是他也不是Apache服务器啊

不懂.....

传入.htaccess文件 文件内容就是红色字体 修改content-type值为image/jpeg 在发送

在传入带有一句话木马的jpg文件

然后访问这个路径

连接蚁剑

在根目录下找到flag

flag{Funny_web}
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[MRCTF2020]你你呢
pakho_C的博客
02-09 1701
web第26题 [MRCTF2020]你你????呢 打开靶场 应该是一个文件上的题目 首先尝试上普通图片 上成功并且返回路径 上一句话木马尝试 显然做了限制 尝试绕过 看来php3,php5,ptml等都做了限制 尝试图片文件欺骗,这里的后缀是php 依旧失败 尝试上写码后的gif文件 失败。看来对文件内容也做了校验 我又返回去看了一下以前做的upload-labs靶场的绕过 文件上漏洞–upload-labs靶场复现(4-7关) 参考第6关和第7关的思路 尝试使用空格和.绕过
web:[MRCTF2020]你你呢
sleepywin的博客
10-10 609
这里参考了大佬的wp,上一个.htaccess文件,这个.htaccess文件的作用就是把这个图片文件解析成php代码执行。上文件,先随便上一个文件看看情况。.htaccess文件的内容为。回显一片空白,说明木马上成功。构造含有一句话木马的图片上。这里用bp抓包修改类型。在根目录找到flag。
[MRCTF2020]你你呢 1
qq_43618536的博客
07-03 1067
BUUCTF的[MRCTF2020]你你🐎呢 1
【BUUCTF之[MRCTF2020]你你呢 1】
qq_40646572的博客
10-25 5329
首先,正常上图片文件,竟然因为文件大小的问题,上失败,就挺难受。不过还好,总算知道是什么原因不能上。总体来讲,这道题,难度是可以的,需要一步步的进行尝试。
vigenere-cipher:Vigenere密码
03-19
它由重复26行/列的字母表组成,但是第一个字母被推到字母表的末尾,并且一直持续到z是第25行中的第一个字母为止。然后,程序将密钥用于行,将消息加密用于列。字母匹配,并显示加密的消息。标点和空格保持不变。
采区含断层工作面冲击失稳预测
04-19
本文以矿井西二采区某一工作面为工程背景,根据数值模拟峰前扰动时断层面应力、位移分叉趋势对断层冲击地压危险区域进行了初步划分,通过现场电磁辐射监测结果分析可知:预测的预警距离是工作面距断层35m时应当采取加强...
CTF 逆向练习-Transform
06-10
该资源配合博客使用,博客我还没写。 有空我会在哔哩哔哩录制教程。
向前欧拉法matlab代码-zbc-ops:我的GitHub个人资料的配置文件
05-20
1.mrctf[friendly_sign-in] 意思就是服务器产生一个数组$N$,需要输入一个数组$X$与其对应位置乘积和为$0$,题目说$N$中全为素数,实际好像不是,因为产生这么多素数比较耗时间,但里面还是大部分都是素数。这里可以...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8348
随着近几天国家网络安全周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
开题报告达达宠物认领信息网站的设计与实现 已通过开题答辩的.docx
07-25
宠物认领信息网站的主要目的是为寻找宠物的失主和寻找新家的宠物提供一个在线的信息交流平台。通过这个平台,失主可以发布失宠信息,寻找走失或遗弃的宠物;而救助人或组织则可以发布待领养的宠物信息,为那些无家可归的宠物寻找一个永久的归宿。 这样的网站通常会提供一个详细的宠物数据库,包括照片、品种、年龄、健康状况等信息,以便让失主能够方便地找到自己的宠物。同时,网站还会提供一些相关的服务,如失主与救助人之间的在线交流、宠物匹配推荐、领养手续办理等,以帮助双方顺利完成宠物的认领和领养过程。 宠物认领信息网站的目的在于提高失宠找到宠物的几率,减少流浪宠物的数量,并为那些无家可归的宠物提供一个温馨的新家。同时,网站还能促进社会对流浪宠物的关注和保护,提高人们的动物保护意识。
开题报告创权法律服务系统 已通过开题答辩的.doc
07-25
进入20世纪80年代,我国加快了改革开放的步伐,市场经济体制已逐步形成,我国的经济发展受世人所瞩目,但法律法规的置后,使经济发展不规范问题暴露的相当严重,特别是社会整体信用的缺失,使消费环境不断恶化。而如今随着城镇化的高速推进,精神追求远不及物质发展迅速,维权问题也越来越成为人们十分关注的社会话题。 维权是指维护个人或群体的合法权益,范围包括人身损害、土地纠纷、 医疗事故、婚姻、家庭、继承等民事纠纷所进行的行政及司法诉讼。维护消费者合法权益关系着全社会每个人的利益,群众利益无小事。维护消费者合法权益正体现着“权为民所用,利为民所谋”。而现如今由于法律规则的不完善加上自身对法律知识的不了解,导致很多公民的权益问题在复杂的社会情况下无法得到妥善的解决,使得公民的财产和心理受到难以弥补的损失,严重威胁到社会的安全与稳定,公民之间的诚信与统一。因此更便捷、迅速地维护公民的合法权益,已经成为了一个刻不容缓去解决的社会问题。
Matlab实现豪猪优化算法CPO-TCN-Multihead-Attention多输入单输出回归预测算法研究.rar
07-25
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
人力资源-6 团结一致共创未来新员工座谈会.pptx
07-25
人力资源-6 团结一致共创未来新员工座谈会.pptx
《AI大模型应用》--基于PepperBot,可以保留上下文的LLM群聊机器人实现.zip
07-25
上接OpenAI、文心一言,下接QQ、微信、Telegram 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸!
开题报告统糕点 已通过开题答辩的.docx
07-25
理论意义: 1、网页设计是信息播的重要手段,通过合理的布局、图文搭配等设计元素,可以更好地统糕点的信息。理论上,这涉及到播学、信息递模型等方面的理论研究,确保信息能够被受众准确、清晰地接收。 2、用户体验理论强调用户与网页之间的交互和感知。在统糕点推广网页设计中,理论上的考虑应该包括用户友好的界面、易于导航的网站结构,以及引导用户深入了解统糕点的设计元素。
GBT 2423.1-2008-试验A-低温
最新发布
07-25
GBT 2423.1-2008-试验A-低温
2500多个AI工具合集包括视频自动剪辑、AI视频生成、AI教程、视频换脸、图片生成等待
07-25
概述: 在这个数字化时代,人工智能(AI)工具正迅速成为创意和生产力的强大推动力。我们的AI工具合集汇集了超过2500个工具,覆盖视频自动剪辑、AI视频生成、AI教程、视频换脸、图片生成等多个领域,为创意专业人士和爱好者提供了一个全面的解决方案。 特点: 视频自动剪辑: 利用先进的AI算法,自动识别并剪辑视频内容,节省编辑时间,提高效率。 AI视频生成: 创造全新的视频内容,无需实际拍摄,AI可以根据脚本或概念生成逼真的视频。 AI教程: 提供各种AI工具的使用教程,帮助用户快速掌握工具的使用技巧。 视频换脸: 通过深度学习技术,实现视频中人物面部的替换,为视频制作增添更多可能性。 图片生成: 根据用户输入的描述自动生成图片,为设计和创意工作提供灵感。 应用领域: 电影和电视制作 广告和营销 社交媒体内容创作 游戏开发 教育和培训 优势: 高效率: AI工具可以大幅度提高工作流程的速度。 易用性: 即使是初学者也能快速上手使用这些工具。 创新性: AI的创造力可以帮助用户实现前所未有的创意效果。 成本效益: 相比统方法,AI工具可以降低生产成本。
毕业设计javajsp高校科研项目管理系统sqlserver-qr源码含文档工具包
07-25
毕业设计javajsp高校科研项目管理系统sqlserver-qr源码含文档工具包 页面是jsp,数据库sqlserver,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 教师科研与论文信息交流平台 课题申报 感研申报 修改个人信息 查询成果申报 查询课题申报 未入库课题/成果 已入库课题成果 研审批 信息统计 查看用户信息 添加用户信息 按作者查询 信息查询 按日期查询 按关键字查询 按类型查动 包含:源码、数据库脚本、论文、答辩ppt、开题报告、环境工具包、相同框架项目的安装教程(在说明文档中)
buuctf misc [MRCTF2020]ezmisc 1
05-16
这是一个关于MRCTF2020比赛的misc题目,题目名称为ezmisc 1。不知道你需要什么样的帮助,我可以给你一些关于此题的信息。 题目描述: There are some problems to solve! Each problem corresponds to a flag. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值