[MRCTF2020]你传你马呢 学习笔记

最新推荐文章于 2022-10-25 16:21:59 发布
最新推荐文章于 2022-10-25 16:21:59 发布
阅读量2.1k 收藏
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45869407/article/details/121056258
版权

最近做了一下文件上传的题目
在这里插入图片描述
这里直接看到可以上传文件,然后直接上传马上去
在这里插入图片描述
看到直接上传成功,但上传成功也不能解析成PHP格式的文件,蚁剑连不上。
只能看到了的writerup,所以我们知道有个配置文件可以利用,.htaccess这个文件,这里我就说一下这个怎么用的,具体的看这里,这个文件我是这样写并且上传的

这段代码的大概意思就是通过.htaccess文件,通过 标签可以实现对目标文件的寻找,并且进行配置,所以这里的文件名必须为我们上传的图片马的名字,然后我们修改它的配置为PHP格式的执行方式,上传后,然后就可以尝试用蚁剑对其进行连接了
在这里插入图片描述

zyyzds
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF之[MRCTF2020]你你呢-------文件解析漏洞
weixin_44632787的博客
06-19 9062
BUUCTF之[MRCTF2020]你你????呢 虽然这题对于大佬来说是属于简单题。但是对于我这种小白来说却是第一次见。算是学到东西了。所以在此记录一下,以后看到这种类似的题目也可以回来复习。。。 首先,启动挑战的项目 emmmmmmm这个页面很有个性。。。一开始以为只是个简单的文件上漏洞,结果没做出来。 不管怎么样,先上一句话木。并且将下面的内容保存成文件1.png GIF89a? <script language="php">eval($_POST['zyh']);</s
[MRCTF2020]你呢解题
Bird&Bird
10-28 556
1、首先右键查看页面源代,可知后端支持PHP。 2、上一句话木,果断报错了 3、将文件后缀名修改为php3/php4/php5/phtml后,在上,仍然报错。 4、那上.htaccess文件试试吧 SetHandler application/x-httpd-php bp抓包,修改filename=".htaccess" 报错了,怀疑是对Content-Type做了过滤,将Content-Type修改为image/jpeg后在上,上成功了。 ...
【BUUCTF之[MRCTF2020]你你呢 1】
qq_40646572的博客
10-25 5301
首先,正常上图片文件,竟然因为文件大小的问题,上失败,就挺难受。不过还好,总算知道是什么原因不能上。总体来讲,这道题,难度是可以的,需要一步步的进行尝试。
[MRCTF2020]你你呢
m0_62905261的博客
09-07 447
[MRCTF2020]你你🐎呢
Adobe After Effects 2020学习笔记
最新发布
06-21
Adobe After Effects 2020学习笔记
Java基础 学习笔记 Markdownr版
06-27
通过阅读和理解这些笔记,你将能够掌握Java的基本语法、核心概念以及高级特性,为进一步学习Java的框架和技术打下坚实的基础。同时,笔记采用Markdown格式,方便转换为PDF、Word等其他格式,适应不同的阅读和学习...
2020年CFA一级高鑫学习笔记.rar
12-27
2020年CFA一级高鑫学习笔记是一份宝贵的资源,旨在帮助考生系统地理解和掌握考试内容。 1. **CFA考试逻辑**(附件一) CFA考试不仅测试考生的知识,还考察其解决问题和应用理论的能力。附件一可能详细介绍了考试...
学习笔记学习笔记学习笔记
01-29
学习笔记学习笔记学习笔记
对内存学习与研究的思维导图
06-01
简单提及: 使用场景; 对无文件落地和有文件落地的内存分类; 各种内存运行时的特点 内存的检测和查杀 部分通过RCE的漏洞执行注入内存
upload-labs 04(上.htaccess)
LuckySec
11-05 2175
题目 首先查看源 该代对常见的多种类型文件后缀名进行了限制上, 但是仔细可以发现,并没有对htaccess文件进行限制。 于是,我们可以先上一个htaccess文件,再上一个图片,进行绕过检测上。 htaccess小知识 .htaccess文件(或者&amp;amp;quot;分布式配置文件&amp;amp;quot;),全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法, 即,在一个特定的文档目录中...
BUUCTF [MRCTF2020]你你呢
墨子辰的博客
02-04 663
考点:.htaccess文件上 先上一个正常图片,发现成功上而且能够访问。 直接一个1.sdga丢上去,看看返回包。 发现可以成功上。 可能有人到这里就懵了,为什么要上1.sdga,它是个神文件类型???? 对,这里我上了一个不存在的文件类型,这样可以方便我们一下判断出是白名单还是黑名单限制。 这里既然能够上一个不存在的文件名,那么说明这里是黑名单限制,so接下来就是黑名单上的招式咯。 看好了 别眨眼·~~~ No.1:上 .htaccess No.2:上 .user.ini
[MRCTF2020]你
Naptmn的博客
11-19 730
题目很儒雅 很委婉的告诉我们这是个文件上一句话木 发现提示不可以 把文件名改了也不可以 发现只能上图片 于是就上了一个图片的 发现图片的可以 这时候我就不知道怎么做了 所以看了波wp 了解到了 .htaccess 这玩意大概用途是让别的文件以php方式执行 之后把这个东西进去就可以连接了 记得的时候也要改类型名称 我竟然找了半天根目录在哪里 ^^ .htaccess可以看一下这个 https://blog.csdn.net/weixin_43571641/article/
文件上 ---[MRCTF2020]你你呢
yzl_007的博客
08-20 289
[MRCTF2020]你你????呢 进入题目很醒目的打招呼方式 查看源发现没什么东西 接着上试试,php被静止可以上jpg等图片 想到上.htaccess文件解析jpg 修改Contnet-Type上成功 文件中 SetHandler application/x-httpd-php 这句话是将任何文件解析成php文件的意思,这个时候就可以上jpg文件来连接了。 jpg文件能直接上,写下一句话木然后改后缀直接上即可 如下上成功,然后用连接 http://acc07ec
MRCTF writeup
abtgu的博客
03-30 1137
文章目录MISCeamiscCyberPunk千层套路你能看懂音符吗Crypto古典密知多少天干地支+甲子keyboardvigenere MISC eamisc 题目: Flag到底在哪嘞? 解题思路: 打开发现png格式图片,猜测高度被改写,写脚本进行CRC爆破,得到高度。 CyberPunk 题目: Hacking_security! 解题思路: 打开执行文件,发现需要的运行时间是2...
[MRCTF2020]你你呢1
:-)
03-31 1562
[MRCTF2020]你你????呢1 STEP1:尝试改写文件头和和文件内容 显示: 判断可能与user.ini或.htaccess文件有关 STEP2:上.htaccess文件 显示: 上成功,上一个1.png文件 STEP3:上1.png文件包含一句木 显示: STEP4:连接 显示: 得到flag ...
[MRCTF2020] web题-你你ma呢
BROTHERYY的博客
08-18 681
复现环境:buuoj.cn 跟祖安人打个招呼吧~ 上.jpg的子 复制路径 /var/www/html/upload/9a5ee638f8d54695e513b45bd66602c7/1.jpg 上.htaccess解析jpg 到根目录找flag flag{f36857f9-ac68-4756-b791-4ce7f2c8f393}
MRCTF部分题的总结与复现
qwzf
04-10 9113
0x00 前言 题目整体来说不太难,毕竟是个新生赛。但考察的知识点等方面,确实需要总结一下。于是我总结了部分MISC、Crypto和Web
extJs+2.1学习笔记.pdf
06-15
"extJs+2.1学习笔记.pdf" 这篇学习笔记详尽地涵盖了ExtJs 2.1版本的关键概念和技术。ExtJs是一种基于JavaScript的富客户端框架,用于构建功能丰富的Web应用程序。笔记分为多个章节,逐步深入地介绍了ExtJs的核心...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值