ctf web方向与php学习记录19之文件上传(3)

最新推荐文章于 2024-07-21 14:30:49 发布
最新推荐文章于 2024-07-21 14:30:49 发布
阅读量324 收藏
点赞数 1
文章标签: php 字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46203060/article/details/109034966
版权
本文探讨了URL中00截断原理在文件上传漏洞中的应用,通过实例解析如何利用00字符替换和双写后缀技巧绕过PHP后缀限制,获取flag。关键在于理解HTTP请求包中的filename字段修改和文件类型过滤机制。
摘要由CSDN通过智能技术生成

一,00截断
00截断的原理
0x00 , %00 , /00 之类的截断,都是一样的,只是不同表示而已。
在url中 %00 表示ascll码中的 0,而ascii中0作为特殊字符保留,表示字符串结束,所以当url中出现%00时就会认为读取已结束。
比如:
https://xxx.com/upload/?filename=test.txt
此时输出的是test.txt

加上 %00
https://xxx.com/upload/?filename=test.php%00.txt
此时输出的是test.php
这个原理相信大家都可以看的非常明白,但是题目本身有几方面值是得思考的。

1在请求包的那一个位置进行00截断,截断的方式是什么 ?
首先是位置的问题
在这里插入图片描述这是在filename处修改的。
在这里插入图片描述
这是在请求头和filename处同时修改的。
在这里插入图片描述
这是仅仅在请求头处修改的。
根据对比可以发现,只有在filename处修改才有效果,所以网上大部分的流传的都不是完全的正确,但本人推荐第二种的,因为在实际操作中我们并不知道也没有必要去纠结修改那一处的,都改了就是。

测试有效就可以蚁剑进入后台了。
在这里插入图片描述
得到flag.

在这里插入图片描述
2为什么我们构造的地址为http://challenge-a35b2746e3160702.sandbox.ctfhub.com:10080/upload/2.php(我这里是用2命名)
原地址http://challenge-a35b2746e3160702.sandbox.ctfhub.com:10080/?road=/var/www/html/upload/
可以来看一下源码

<?php
header("Content-type: text/html;charset=utf-8");
error_reporting(0);

//设置上传目录
define("UPLOAD_PATH", dirname(__FILE__) . "/upload/");
define("UPLOAD_URL_PATH", str_replace($_SERVER['DOCUMENT_ROOT'], "", UPLOAD_PATH));

if (!file_exists(UPLOAD_PATH)) {
    mkdir(UPLOAD_PATH, 0755);
}

if (!empty($_POST['submit'])) {
    $name = basename($_FILES['file']['name']);
    $info = pathinfo($name);
    $ext = $info['extension'];
    $whitelist = array("jpg", "png", "gif");
    if (in_array($ext, $whitelist)) {
        $des = $_GET['road'] . "/" . rand(10, 99) . date("YmdHis") . "." . $ext;
        if (move_uploaded_file($_FILES['file']['tmp_name'], $des)) {
            echo "<script>alert('上传成功')</script>";
        } else {
            echo "<script>alert('上传失败')</script>";
        }
    } else {
        echo "文件类型不匹配";
    }
}

?>
<!DOCTYPE html>
<html>

<head>
    <meta charset="UTF-8">
    <title>CTFHub 文件上传 - 00截断</title>
</head>

<body>
    <h1>CTFHub 文件上传 - 00截断</h1>
    <form action=<?php echo "?road=" . UPLOAD_PATH; ?> method="post" enctype="multipart/form-data">
        <label for="file">Filename:</label>
        <input type="file" name="file" id="file" />
        <br />
        <input type="submit" name="submit" value="Submit" />
    </form>
<!--
if (!empty($_POST['submit'])) {
    $name = basename($_FILES['file']['name']);
    $info = pathinfo($name);
    $ext = $info['extension'];
    $whitelist = array("jpg", "png", "gif");
    if (in_array($ext, $whitelist)) {
        $des = $_GET['road'] . "/" . rand(10, 99) . date("YmdHis") . "." . $ext;
        if (move_uploaded_file($_FILES['file']['tmp_name'], $des)) {
            echo "<script>alert('上传成功')</script>";
        } else {
            echo "<script>alert('上传失败')</script>";
        }
    } else {
        echo "文件类型不匹配";
    }
}
-->
</body>

</html>

in_array — 检查数组中是否存在某个值
in_array( mixed $needle, array $haystack[, bool $strict = FALSE] ) : bool

move_uploaded_file — 将上传的文件移动到新位置
move_uploaded_file( string $filename, string $destination) : bool

根据in_array($ext, $whitelist)为真即后缀为"jpg", “png”, "gif"之一的文件,进入下一个if。
根据 $des = $_GET[‘road’] . “/” . rand(10, 99) . date(“YmdHis”) . “.” . $ext;得知得到的完整路径是 GET[‘road’]+随机数+日期加前面获得的后缀名。我们将他修改为已上传的文件的路径,也就是说要上传一句话木马的php文件就要绕过后缀的限制,而使用2.php.jpg修改后的请求包无法上传,

在这里插入图片描述
故采用00截断。
二,双写后缀
str_ireplace — str_replace() 的忽略大小写版本
str_replace — 子字符串替换。
str_replace( mixed $search, mixed $replace, mixed $subject[, int & $count] ) : mixed
该函数返回一个字符串或者数组。该字符串或数组是将 subject 中全部的 search 都被 replace 替换之后的结果。

结合以上说明在看源码题目给的提示
在这里插入图片描述显而易见,是将文件后缀替换成了空格,那么只要双写后缀即可,写成2.pphphp然后上传。
由于str_ireplace会过滤所有php后缀,所以 2.phpphp的后缀无法保留php后缀,而2.pphphp仅仅将中间的php过滤,所以留下了php后缀,因此成功拿到flag。

在这里插入图片描述

这周末在做梦
关注
php upload ctf,强网杯CTF防御赛ez_upload Writeup
weixin_35645813的博客
03-17 1161
这是强网杯拟态防御线下赛遇到的web题目,本来是不打算分享Writeup的,但是由于问的人很多,于是这里分享给大家。ez_upload这题算是非常经典的堆叠black trick的题目,算是比较典型的ctf式题目(虽然现在大家都很抵制这样的题目),这里主要是分享Writeup以及我们队在完成题目时的思考流程。ez_upload 思考流程最开始我先描述一下题目逻辑。1、login.php,登陆页面,...
ctf题目php文件上传如何绕过_CTF---Web入门第二题 上传绕过
weixin_39679678的博客
01-14 647
bypass the upload格式:flag{}【解题报告】这是我入门Web开始写的第二道题,这道题有点意思,它的题目意思是要上传一个文件,具体要上传什么文件题目也没说,我们就随意上传一个txt文本文档,点submit,题目会显示"不被允许的文件类型,仅支持上传jpg,gif,png后缀的文件"的字样,这时我们就新建一个1.jpg文件,然后点击submit上传,然后会有以下提示信息:,这不是在...
php 写入文件 ctf,php代码审计前奏之ctfshow之文件上传
weixin_33213367的博客
03-10 895
想搞好代码审计,必须要搞懂其中一些危险函数危险应用,以及过滤不足,故以 CTF 来练习。web151~前端验证直接抓包修改后缀。web152~前端+MIME直接抓包修改后缀。web153~.user.ini使用条件:(1)服务器脚本语言为PHP 服务器使用CGI/FastCGI模式(2)上传目录下要有可执行的php文件使用方式:上传一张图片马上传 .user.iniauto_prepend_fil...
CTF-文件上传(文件包含)总结
最新发布
2302_78903258的博客
07-21 1731
攻击者在入侵了一个网站后,通常会将这些asp或php后门文件与网站服务器web目录下正常的网页文件混在一起,然后使用浏览器来访问这些后门,得到一个命令执行环境,以达到控制网站服务器的目的(可以上传下载或者修改文件,操作数据库,执行任意命令等)。php的文件包含机制是将已经包含的文件与文件的真实路径放进哈希表中,正常情况下,PHP会将用户输入的文件名进行resolve,转换成标准的绝对路径,这个转换的过程会将…来实现的,它会检查左侧的表达式是否为 null,如果是则使用右侧的默认值。以及 fd 怎么办呢?
ctfhub文件上传
2202_75317918的博客
01-19 1269
ctfhub文件上传
CTF-文件上传PHP(持续更新)
m0_74317362的博客
07-27 1400
将一句话木马保存成1.jpg格式,选择1.jpg文件,用burp拦截数据包,讲文件类型改成php。上传1.php文件用burp拦截请求,将Content-Type改成image/jpeg。将文件命名成"1.php " 就可以上传,windows的需要burp修改数据包。将文件命名成1.php.就可以上传,windows的需要burp修改数据包。上传1.php文件,用burp修改数据包1.php后面加上::$DATA。正确步骤开始,先上传图片马,不修改后缀,再上传.htaccess文件。
ctfweb题型找到php后怎么做,CTFweb总结
weixin_39521009的博客
04-01 2750
身为一只web小白,但也刷了不少CTF方面的web题,趁着今天有时间,坐下来总结一下关于web的解题方法。0x01 直接查看源代码解题方法:点击右键,查看页面源代码将hidden改为text,value=0改为value=1,点击Enter。出现下图:这段代码的意思就是,将我们传给PIN的值给a,如果a=-1982774773616112831283716166172777371616672727...
CTF Web各种题目的解题姿势
07-27
第3章 文件上传与文件包含 课时1:文件上传漏洞原理与简单实验17'10 课时2:文件上传利用 - javascript客户端检查14'16 课时3:文件上传利用 - MIME类型检查10'50 课时4:文件上传利用 - 黑名单检查11'46 课时5...
CTF Web学习(三)----python脚本的编写及应用
网络猿的博客
01-10 2802
CTF Web学习(三) python脚本的编写及应用 CTF Web学习目录链接 CTF Web学习(一):基础篇及头文件修改、隐藏 CTF Web学习(二):代码审计、burp suite应用 文章目录CTF Web学习(三)前言一、python编程(一)BugKu web18 秋名山车神(二)BugKu web19 速度要快(三)BugKu web20 cookies欺骗总结 前言 本次学习主要针对python编程。简单得编程。 一、python编程 以下的题都是出自bugku,但是链接不是
CTF Web学习(一)----基础篇及头文件修改、隐藏
网络猿的博客
01-10 4077
CTF Web学习 CTF Web学习(一):基础篇及头文件修改、隐藏 CTF Web学习(一):基础篇及头文件修改、隐藏 文章目录CTF Web学习前言一、直接查看源代码(一)F12看代码1、bugku web1题2、bugku web2题二、头文件、属性、隐藏等(一)input限制输入长度1、修改maxlength属性(二)修改头文件1、修改User Agent属性2、修改Accept-Language属性3、修改cookie4、头文件里藏flag5、域名解析(三)各种隐藏1、302隐藏2、js隐藏
从0到1学习CTF WEB
hzy_wsq的博客
07-29 955
从0到1学习CTF WEBweb前置技能功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 基础比较薄弱,准备逐题刷CTFHub的web类型题目顺便学习一下web方面的安全知识。 web前置技能 1、请求方式: 隐藏信息 metho
ctf php文件上传图片格式,CTF-WEB文件上传
weixin_28766581的博客
04-12 1502
文件上传一句话木马利用文件上传漏洞往目标网站中上传一句话木马,然后就可以在本地获取和控制整个网站目录。利用一句话木马进行入侵时需要满足木马上传成功未被查杀,知道木马的路径在哪并保证上传的木马能正常运行。一个简单的 PHP 一句话木马如下:@ 表示后面即使执行错误也不报错,eval()函数表示括号内的语句字符串什么的全都当做代码执行,$_POST['flag']表示从页面中获得 flag 这个参数值...
ctf题目php文件上传如何绕过_CTF题目相关漏洞总结(CBC模式加密,opcache,LD_PRELOAD)
weixin_31969199的博客
02-01 1031
0x00 php7 opcache执行 PHP 代码1. 环境配置123456[opcache]zend_extension=/usr/local/lib/php/extensions/no-debug-non-zts-20151012/opcache.soopcache.enable=1opcache.validate_timestamps=0 ;漏洞利用条件opcache.file_cach...
CTF遇到的源码中的PHP函数
ChanCherry的博客
06-30 545
CTF经常需要查看源代码,源代码大部分都是PHP代码,所以了解一些PHP函数还是很有必要的,下面记录一些刷题时遇到的,备忘吧! 1.isset() 判断变量是否已经声明过,是就返回true,否就返回false 2.is_string() 判断比变量是不是字符串,是就返回true,否就返回false 3.mb_substr() 多用于中文字符串,而substr()函数是针对英文字符串的,自命名为字...
CTF学习笔记——Upload
Obs_cure的博客
02-08 2597
一、 1.题目 2.解题步骤 3.总结 4.参考资料
百度杯”CTF比赛 九月场 Upload
weixin_43858799的博客
05-19 556
1、 打开题目得到这个界面 2、随便上传一个文件 上传了之后还可以打开 这里就可以尝试上传一个PHP文件来获取到flag 网页源代码显示 上传路径在u目录下 所以需要…/flag.php 返回上一级 打开flag.php 尝试上传一个php文件读取flag。php文件参考http://www.w3school.com.cn/php/php_file_open.asp <?php $ ...
ctf赛题上传一个php木马,文件上传ctf_web题目【伪协议】
weixin_34816913的博客
03-17 1121
1.第一题Qiyu_20170807_210121.png文件包含可以读到php源代码源代码:require("header.php");$page="";if (isset($_GET['page']))$page=$_GET['page'].".php"; #page参数自动添加了.php后缀,因此文件包含的index不需要加后缀else$page="main.php";include(...
ctf web方向php学习记录17之文件上传
这周末在做梦的博客
10-11 196
以我目前的见识来说,文件上传就是将木马植入服务器,获取权限,拿到flag的一类题型。 这里以ctfhub的题目为例,介绍所接触题目的相关原理。 首先是前端验证,由于网上都有详细的wp,在此不过多介绍。 JavaScript 表单验证 JavaScript 可用来在数据被送往服务器前对 HTML 表单中的这些输入数据进行验证。 被 JavaScript 验证的这些典型的表单数据有: 用户是否已填写表单中的必填项目? 用户输入的邮件地址是否合法? 用户是否已输入合法的日期? 用户是否在数据域 (numeric
小白的CTF之路之文件上传(三)
glass_york的博客
01-14 386
文件上传
CTF挑战:Web安全漏洞——任意文件上传与下载实战
CTF(Capture The Flag)竞赛中,特别是在Web安全领域,"任意文件上传+任意文件下载"是一个常见的挑战,涉及到黑客技术的运用和Web应用程序的安全漏洞利用。这类题目通常要求参赛者通过精心构造的HTTP请求,上传...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

这周末在做梦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值