安鸾之文件上传系列

已于 2025-01-21 10:19:43 修改
阅读量754 收藏 1
点赞数 1
分类专栏: Web安全 文章标签: php 开发语言 web安全 网络安全 渗透测试
于 2022-08-28 02:35:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46318141/article/details/126565099
版权

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
本文转发于涂寐’s Blogs:https://0xtlu.github.io

0×00 Nginx解析漏洞

0o00 题目提示

Nginx解析漏洞

题目URL:http://106.15.50.112:8020/

提示:flag在网站根目录下

0o01 上传流程

  • 直接访问,提供一个上传点,错误上传:Please ensure you are uploading an image.;白名单???
  • 直接传图片马,前端回显文件路径:File uploaded successfully: /var/www/html/uploadfiles/xxx.jpg
  • 重复上传,这……还是根据文件原名重命名的吗???
  • 继续,File uploaded exceeds maximum upload size.,限大小,png确实比较大。
  • 和其他师傅沟通了下,这站点似乎就是不给你看图片的,但直接给图片码进行解析漏洞就好了……但一毛一样的一句话,我咋就不行呢,直接用师傅的又可以,是我合成的方法有问题吗……大佬说,玄学……
  • 好了,建国之后不准成精。看下吧,我的图片码和师傅的有啥不同:

  • 对的,师傅的 jpg 图里是 png图片的内容,所以……找张小尺寸的 png 图重新生成图片码。
  • 蚁剑:http://106.15.50.112:8020/uploadfiles/xxx.jpg/.php
  • 网站根目录拿 flag :flag{96447a6a5d809890} //-- 2022.1.20

0o02 Nginx解析漏洞

  • 漏洞原理:若访问路径为 .../test.png/test1.php , 当 fastcgi 在处理 .php 文件时发现文件不存在, 则根据 php.ini 配置文件中 cgi.fix_pathinfo=1 的配置项选择是否修复路径,即当前路径不存在时则采用上层路径.../test.png。故,此时交由 fastcgi 处理的文件就变成.../test.png.../test.png 也将作为 .../test.png/test1.php进行解析,即当作 php 文件解析。
  • 注:php-fpm.conf 中的 security.limit_extensions 配置项限制 fastcgi 解析文件的类型,即指定某类型文件可作为代码解析。当此项设置为空时,允许 fastcgi 将.png 等文件作为代码解析。
  • 漏洞成因:php 和 nginx 间的配置问题。
  • 漏洞修复:① 将 php.ini 文件中的 cgi.fix_pathinfo 设置为 0,取消路径修复功能; ② php-fpm.conf 中的 security.limit_extensions 设置为 .php,指定可解析文件类型。

0×00 文件上传01

0o00 题目提示

文件上传01

题目URL:http://106.15.50.112:8024/

提示:flag在网站根目录下

0o01 上传流程

  • 找到上传点:http://106.15.50.112:8024/admin.php
  • 直接禁用 js,上传 php 文件,或bp改图片码后缀为 php 。
  • 注意,网站根目录/var/www/html/,不是服务器根目录:flag{6687ee3215bbd38a}

0×00 文件上传02

0o00 题目提示

文件上传02

题目URL:http://106.15.50.112:8025/

提示:flag在服务器根目录

0o01 上传流程

  • 看着首页……总想着是被黑了吗?扫一波目录先(bb,其实可以直接在 URL 上加 ~~/upload.php~~ 测试,算了还是得多用下目录扫描)。

  • 废话太多了,上链接:http://106.15.50.112:8025/upload.php

  • 禁 js ,传 php ,没反应。

  • 正常点,传个图片,正常显示,拿到图片路径,且图片重命名。

  • 测试其他后缀,不行,盲猜白名单,再分析下请求包:

    Connection: close

------WebKitFormBoundaryAYlZtBqmFuaASUG6
Content-Disposition: form-data; name="file_path"

images/
------WebKitFormBoundaryAYlZtBqmFuaASUG6
Content-Disposition: form-data; name="upload_file"; filename="php.jpg"
Content-Type: image/jpeg

�PNG

  • file_path???images/???这路径,可以改改吧,

  • 想了下似乎很符合%00截断,回顾下笔记,php version < 5.3.4,而站点的是 5.3.3

  • 修改路径:images/test.php;在路径后一个字符直接添加并 URL 编码%00,或 Hex 中直接修改后一个字符的十六进制为00

  • 通过%00 截断,上传的图片将被命名为 test.php

  • 蚁剑连接:http://106.15.50.112:8025/images/test.php

  • 服务器根目录:flag{c325cb3922a0e48c}

keras模型 尾花数据集_对鸢尾花识别之Keras
weixin_32775495的博客
01-17 740
对鸢尾花识别之Keras任务目标对鸢尾花数据集分析建立鸢尾花的模型利用模型预测鸢尾花的类别环境搭建pycharm编辑器搭建python3.*第三方库numpypandassklearnkeras处理鸢尾花数据集了解数据集鸢尾花数据集是一个经典的机器学习数据集,非常适合用来入门。鸢尾花数据集链接:下载鸢尾花数据集 鸢尾花数据集包含四个特征和一个标签。这四个特征确定了单株鸢尾花的下列植物学特征:花萼长...
keras模型 尾花数据集_Keras之对鸢尾花识别
weixin_36170766的博客
01-17 734
对鸢尾花识别之Keras任务目标对鸢尾花数据集分析建立鸢尾花的模型利用模型预测鸢尾花的类别环境搭建pycharm编辑器搭建python3.*第三方库numpypandassklearnkeras处理鸢尾花数据集了解数据集鸢尾花数据集是一个经典的机器学习数据集,非常适合用来入门。鸢尾花数据集链接:下载鸢尾花数据集鸢尾花数据集包含四个特征和一个标签。这四个特征确定了单株鸢尾花的下列植物学特征:花萼长度...
文件上传
MCTSOG的博客
03-03 709
文件上传 渗透实战平台-Nginx解析漏洞 Nginx解析漏洞原理及复现 制作一图片马,然后上传,然后用蚁剑连接 http://www.whalwl.site:8020/uploadfiles/025108c5577eacf12c2e26e14dcc8a71.jpg/a.php(已失效) 查找flag 渗透实战平台-文件上传01 这就是个属于文件上传的前端验证,绕过前端即可 (可以删除网页源码中的检测内容,或者关闭浏览器的js功能) 然后上传,然后用蚁剑连接,查找flag 渗透实战平台-文件上传
平台 文件上传
WEB渗透测试 从入门到萌新
09-30 384
文件上传
渗透实战平台---文件上传01
weixin_50985113的博客
05-15 1123
渗透实战平台——文件上传01 1、访问 2、找到上传点,全部都试了,就这里可以上传 3、准备木马,并把后缀改成.jpg,因为上传php时提示jpg,所以他应该做了过滤 4、我猜他是前端过滤,我这里抓个包,从数据包中把他的后缀改回来 找到目标 bp监听,浏览器点击上传 改成php 上传成功,这里我们发现了一个黑点,我们试试访问他的地址 找到了上传路径 由于是.php所以直接上蚁剑 连接成功 找到flag.txt 去看看,即可得到flag ...
平台文件上传漏洞
你的网线学长吖
03-17 7378
1.Nginx解析漏洞 由于判断文件后缀出现问题,导致可以添加一个/.php后缀,使得系统解析图片木马为php文件 解题: 1:首先正常上传一个含php代码的木马图片 php代码注入:记得这个pass 后面是连接蚁剑的连接密码 2:上传后给出一个图片地址 3:将其进行访问 106.15.50.112:8020/uploadfiles/d0096ec6c83575373e3a21d129ff8fef.jpg/.php 注意后面加了/.php将其变为php文件 4.复制该地址,连接蚁剑找到flag
渗透实战平台(安全基础)文件类型 (100分)
weixin_50985113的博客
02-03 640
渗透实战平台一台Linux虚拟机、一台windows x32虚拟机、解压软件。
UCI数据集下的尾花数据集
07-09
UCI数据集下的尾花数据集,供大家使用,有什么不懂的欢迎来到我的博客下面留言,大家一起探讨学习
Spark大数据处理技术PDF 高清带目录完整版 夏俊黄洁程浩等
11-19
《Spark大数据处理技术》是夏俊、黄洁程、程浩等专家合著的一本深入探讨Spark在大数据处理领域的专业书籍。这本书以其高清且带有完整目录的形式,为读者提供了全面而系统的Spark学习资料。 Spark作为当前大数据...
unity xlua lua5.4.4最新版lua库文件
07-26
Unity是世界上最受欢迎的游戏开发引擎之一,它支持多种编程语言,其中就包括通过XLua插件使用的Lua。XLua是一个高效、强大的Lua脚本绑定工具,它使得开发者可以在Unity项目中利用Lua语言的强大功能,同时保持与C#...
备考CISP-PTE之文件上传
网安君的博客
08-29 1304
备考CISP-PTE
文件上传漏洞? 看这一篇就够了-Nginx解析漏洞 修改后缀绕过前端验证 00%截断 靶场练习
AAAAAAAAAAAA66的博客
12-31 5565
靶场地址 首页 : 渗透实战平台 - 学院 目录 文件上传漏洞利用条件 Nginx解析漏洞 文件上传01 (绕过前端验证) 文件上传02 00%截断​ 文件上传漏洞利用条件 1.可以上传php文件,或者上传的文件可以被解析为php文件 2.可以找的到文件上传后的路径 Nginx解析漏洞 该漏洞与Nginx、php版本无关,属于用户配置不当造成的解析漏洞。 实际上就是由于判断文件后缀出现问题,导致我们可以添加一个/.php 后缀 使得系统解析图片木马为php文..
渗透测试-web安全】DVWA-文件上传
harry_c的博客
11-13 642
渗透测试-web安全】DVWA-文件上传实操进阶 实操 服务器使用upload(“hello.jpg”),实现文件上传。而我们则是利用hello.jpg的参数构造进行漏洞攻击 首先登录系统,选择Low等级进行实战 上传文件: 显示:…/…/hackable/uploads/崽崽.jpg succesfully uploaded! 由http://localhost/dvwa/vulnerabi...
CTF---Web---文件包含---11---构造访问路径+过滤php代码
qq_22160557的博客
08-01 2482
文章目录前言一、题目描述二、解题步骤1、寻找上传点2、上传一句话木马3、构造访问路径3、绕过php代码过滤4、蚁剑连接三、总结 前言 题目分类: CTF—Web—文件包含—11—构造访问路径+过滤php代码 一、题目描述 题目:Bugku—文件包含2 http://114.67.246.176:13862/index.php?file=hello.php 二、解题步骤 1、寻找上传点 Step1:右键源代码,发现上传页面upload.php 2、上传一句话木马 Step2:因上传文件有限制,所以将一
获取flag值
热门推荐
qq_49091880的博客
01-02 1万+
获取FLAG值 一、SSH服务器 1.如何从外部进入最终root主机,获得flag值 SSH:建立在应用层基础上的协议 SSH是目前较可靠,专门远程登录会话和其他网络服务提供安全性的 协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题 2.SSH基于TCP 22端口的服务 3.SSH协议认证机制 (1)基于口令的安全验证 (2)基于密钥的安全验证 注:id_rsa:私钥 id_rsa.pub:公钥 二、实验环境 1.攻击机:192.168.1.105 2.靶机机器:192.168.1.106
buuctf(探险2)
qq_62046696的博客
08-08 1039
先上传一个一句话木马.,过滤了然后用可以通过,大概还是过滤了
ctfhub技能树RCE部分(待完善)
qq_39670065的博客
11-09 797
eval执行 eval执行就是远程代码执行 看看代码 <?php if (isset($_REQUEST['cmd'])) { eval($_REQUEST["cmd"]); } else { highlight_file(__FILE__); } ?> 连上蚁剑 连上会发现这是一个Linux系统,要使用简单的Linux命令 ls 列出目录中的文件 cd 选择要进入的目录 cd / 返回到根目录 cat 查看文件 更多命令见linux常用命令学习 再次温馨提示:学习.
文件上传靶场-Nginx文件解析漏洞
ierciyuan的博客
11-04 1836
一个简单的nginx文件解析漏洞靶场。配置疏忽导致文件上传漏洞产生。
靶场】cmseasy&内网渗透 (500分)
信安是不可或缺的一部分!
10-10 1497
等后面靶场重置,总体思路是这样的但是有点小问题,这个redis拿shell其实挺麻烦的,之前打靶场时也遇到过写入任务计划但没成功,我重置多次后成功了,这个运行不太好,也可能是frp的配置有问题。找了半天在:http://106.15.50.112:8021/config/tag/category_27.php。这里不能使用反弹shell方式,因为有可能192.168.112.3只有内网无外网环境:这里只能使用写入私钥方式。frp工具地址:https://github.com/fatedier/frp。
python 尾花
最新发布
01-22
尾花是一种常见的花卉,有三个品种:setosa、versicolor和virginica。每种尾花都有四个属性:花瓣的长度和宽度,以及花萼的长度和宽度。我们可以使用机器学习算法来根据这些属性来判断尾花的品种,即进行分类。 在Python中,我们可以使用机器学习库scikit-learn来实现尾花的分类。首先,我们需要获取尾花的数据。可以使用scikit-learn提供的尾花数据集,该数据集包含了150朵尾花的属性和对应的品种。 下面是一个简单的示例代码,演示如何使用K近邻算法对尾花进行分类: ```python from sklearn.datasets import load_iris from sklearn.model_selection import train_test_split from sklearn.neighbors import KNeighborsClassifier # 加载尾花数据集 iris = load_iris() # 将数据集分为训练集和测试集 X_train, X_test, y_train, y_test = train_test_split(iris.data, iris.target, test_size=0.2, random_state=0) # 创建K近邻分类器 knn = KNeighborsClassifier(n_neighbors=3) # 训练模型 knn.fit(X_train, y_train) # 预测测试集的品种 y_pred = knn.predict(X_test) # 打印预测结果 print("预测结果:", y_pred) ``` 这段代码首先导入了所需的库,然后加载了尾花数据集。接着,将数据集分为训练集和测试集,然后创建了一个K近邻分类器,并使用训练集对其进行训练。最后,使用测试集进行预测,并打印预测结果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值