BUUCTF-Web-[极客大挑战 2019]Upload

最新推荐文章于 2024-04-17 21:05:06 发布
最新推荐文章于 2024-04-17 21:05:06 发布
阅读量923 收藏
点赞数 1
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67813445/article/details/130439772
版权

打开后可以看到是一个可以进行文件上传的页面,如下图所示

查看页面源代码,如下图所示,可以看到有js代码,说明存在前端验证的可能性

上传一个php文件,此处上传shell.php后页面如下图所示,显示不是图片

用burpsuite进行抓包,修改MIME类型, 即将Content-Type修改为image/jpeg,修改之后页面如下图所示,显示NOT!php!,也就是检测出来还是php文件

 将文件后缀改为jpg,页面如下图所示,文件类型符合要求,但

最低0.47元/天 解锁文章
canaan_amber
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【BUUCTF-Web】[挑战 2019]Upload
weixin_49298681的博客
01-05 1009
Upload=> 文件上传漏洞。
GFG-:30天挑战
02-17
30天挑战2021年1月 30天练​​习问题的Python解决方案: 与同学一起翻阅怪胎。(Array); 第N个自然数; 不能表示为Sum的最小正整数; 从抽屉里拿出“ k”双袜子的最小采摘次数; 螺旋矩阵奇克兰的硬币; 有效...
阿里云IoT创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 创新挑战赛》的分享,就挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
2019年三诺集团四周年庆典摇滚跑活动方案.pptx
05-06
2019年三诺集团四周年庆典摇滚跑活动方案
buuctf之文件上传漏洞(Pass1~15)_bucctf文件上传 1,2024年最新网络安全面试宝典
最新发布
2301_82242528的博客
04-17 824
在指定字符串中从后面开始的第一次出现的位置,如果成功,则返回从该位置到字符串结尾的所有字符,如果失败,则返回 false。file_ext,所以相当于只去除前后空格和最后的一个点,还有一个点没被去除,就能利用Windows特性(自动去除文件后的带点)2.上传 .htaccess文件,在将要上传的php文件(或其他文件)后缀修改为txt(或其他在黑名单之外的),然后上传。(就是获取文件中最后一个点的之后的字符串(后缀名),防止了点绕过)之后会将该文件当做文件流处理,且保持之前的文件名,比如。
BUUCTF__[挑战 2019]Upload_题解
风过江南乱的博客
07-06 697
BUUCTF__[挑战 2019]Upload_题解 .php上传被过滤时可以用的别名:php2, php3, php4, php5, phps, pht, phtm, phtml
[挑战 2019]Upload
siu~
09-07 919
[挑战 2019]Upload 解题
BUUCTF-Web:[挑战 2019]Upload
m0_56161093的博客
05-29 828
题目 解题过程 1、上传文件 从网页上来看是上传一个图片文件,但我们不知道他的检查上传的文件,所以可以试一试上传各种文件。一般检查文件的地方有:后缀名、content-type、文件头的部分内容。 这里我们先上传一个php文件,不做任何修改。如下图: 结果如下: 2、修改文件后缀名和content-type 将文件名修改为test.phtml,绕过常规php文件后缀检测 将文件类型修改为:image/jpeg 注意:phtml一般是指嵌入了php代码的html文件,但是同样也会作为php解析 修
Buuctf<挑战2019>upload
m0_64444909的博客
04-07 5164
文章目录一.划重点的知识点二.解题步骤二、使用步骤1.引入库2.读入数据总结 一.划重点的知识点 GIF89a图片头文件欺骗: 一个GIF89a图形文件就是一个根据图形交换格式进行格式化之后的图形。用记事本编写一下内容,然后修改后缀变成图片 GIF89a <head> <meta http-equiv = "refresh" content = "1; url=http://www.***.com/" /> </head> 当单独查看此文件时,会出现G
BUUCTF [挑战 2019]Upload
m0_49025459的博客
05-12 4763
这题目是文件上传漏洞 看到这种上传的漏洞,肯定就是上传一句话木马,我们写一个正常的一句话木马先上传试试 <?php phpinfo(); @eval($_POST['shell']); ?> 我们上传之后,提示我们不是image格式,那么我们上传的时候就抓一下包,修改一下上传的格式 Content-Type: image/jpeg 放包 这时候我们发现,文件的后缀不能为php,文件绕过的格式也有很php,php3,php4,php5,phtml....
CTF中的BUUCTF之[挑战 2019]Upload
weixin_44632787的博客
06-17 579
CTF中的BUUCTF之[挑战 2019]Upload 启动我们的挑战项目 这个界面,一看就知道是文件上传的类型的题目了 所以用我之前准备好的一句话木马: GIF89a? <script language="php">eval($_POST['zyh']);</script> 之所以用这种一句话木马,是因为这种过滤方法比原版的:<?php @eval($_POST['attack']);?> 要好用。(个人观点) 将上面的一句话木马保存为1.png。 然后开
微信小程序-学院.zip
04-14
微信小程序-学院.zip,小程序模板代码,基于微信小程序的在线免费小说的开发。,可以直接从源码里粘贴复制过来,虽然这样做不利于自己独立编写代码。
GeekBand-IOS-1501-SampleProject:班IOS专业样本项目资源库
04-30
GeekBand-IOS-1501-SampleProject班IOS专业样本项目资源库为了推进项目实践,班将推出样本项目(蓦然)的Lab Manual帮助学员实践一个APP的开发。项目讨论区:更新日志:2015/09/23 蓦然LabManual_登录模块_...
thegeekdeveloper-portfolio:开发人员组合
05-13
开发人员组合 构建设置 # install dependencies $ npm install # serve with hot reload at localhost:3000 $ npm run dev # build for production and launch server $ npm run build $ npm start # generate ...
Certificate-Engine:之家的证书引擎
05-15
在“ cehg / client / web-app”文件夹中打开终端/ cmd 运行“ npm install”以安装所有依赖项。 运行“ npm start”以启动开发服务器。 请阅读以获取有关CEHG网络应用程序入门的详细信息安卓应用使用颤振贡献指南...
BUUCTF:[挑战 2019]Upload
末初的CSDN博客
11-04 306
题目地址:https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]Upload POST /upload_file.php HTTP/1.1 Host: b40c1d53-d3d6-43be-9f6d-67c767946f8c.node3.buuoj.cn User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/.
CTF笔记:BUUCTF-[挑战2019]Upload
dqx1223的博客
07-09 946
ctf笔记
BUUCTF [挑战 2019] Upload
Senimo
12-17 2480
BUUCTF [挑战 2019] Upload 考点: 1. 启动环境: 有上传头像的地方,首先上传正常图片测试: 上传了一张.jpg格式的文件,也显示不是图片 后续测试.php、.txt都不行,可能不止限制了文件后缀,使用BurpSuite抓取数据包: ...
buuctf-upload
m0_62094846的博客
10-31 721
按照指示上传文件 用burp抓取 直接看到flag,我以为就这么做完了,但是交不上去,再看页面,Look here,可能还是需要木马, 但用上次的方法,改文件格式为php,就不会显示上传成功了 查找发现,也可以上传,phtml文件名 就可以得到成功的返还了 接下来按照原来的方法做,用蚁剑,最后可以在根目录下得到flag ...
buuctf web 挑战2019
08-24
对于BUUCTF Web挑战2019,我了解到它是一个网络安全比赛,由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值