当前位置: 首页 > news >正文

ctfshow——文件上传

文章目录

  • 文件上传思路
  • web 151
  • web 152
  • web 153
    • 知识点
    • 解题
  • web 154
  • web 155
  • web 156
  • web 157
  • web 158
  • web 159
  • web160
  • web 161

文件上传思路

在这里插入图片描述
在这里插入图片描述

web 151

打开页面显示:前台校验不可靠。说明这题是前端验证。
在这里插入图片描述
右键查看源代码,找到与上传点有关的前端代码:
在这里插入图片描述
  这里使用了一个叫Layui的组件库,url代表上传接口,accept代表允许上传的文件类型,exts代表允许上传的文件后缀。可见这里前端只允许上传图片类型的文件,且文件后缀名为png。

  绕过前端验证的最简单方法就是,上传一个png的webshell,再使用burp抓包更改文件后缀名,再访问上传的webshell。
在这里插入图片描述
在这里插入图片描述
可见,上传成功~,下一步就是写一个shell<?php @eval($_POST['cmd']);?>,用webshell连接工具蚁剑去连接上传的webshell。

这里我们详细分析一句话木马,不借助工具获取flag。

  1. php代码要写在<?php ?>中,php解析器才会认出这是php代码;
  2. @符号的意思是不报错,即使执行错误,也不报错;
  3. eval():把字符串当做PHP代码执行;
  4. $_POST['cmd']接收POST传参,传参的变量名叫cmd

    除了POST传参,还有GET传参$_GET['cmd']、全局的传参方法$_REQUEST['cmd'](不管是GET传参 or POST传参 or FIlE传参 or COOKIE传参)。

  5. php执行系统命令的函数有system()exec()shell_exec()、反撇号。php执行外部命令
    在这里插入图片描述

在这里插入图片描述

web 152

跟前一题一样的

web 153

知识点

  自PHP 5.3.0起,PHP支持基于每个目录的INI文件配置,此类文件仅被CGI/Fast SAPI处理。如果PHP以模块化的方式运行在Apache里,则.htaccess文件有同样效果。除了主php.ini之外,php还会在每个目录下扫描INI文件,从被执行的PHP文件所在目录开始一直上升到web根目录($_SERVER[‘DOCUMENT_ROOT’]所指定)。如果被执行的php文件在web根目录之外,则只扫描该目录。在这里插入图片描述

配置选项是有权限的。php.ini是主要的配置文件,.user.ini是用户自定义的配置文件且能覆盖php.ini的内容,php解析器在解析php文件时会扫描.user.ini的配置。

  在.user.ini风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 和PHP_INI_ALL模式的 INI 设置可被识别。用人话说就是除了PHP_INI_SYSTEM模式的配置以外都可以在.user.ini中进行重写。两个重要的配置选项:

auto_append_file=filename     //相当于在每个php文件尾加上 include(“filename”)
auto_prepend_file=filename    //相当于文件头加上 include(“filename”)

  利用.user,ini的方法:保证三个文件(.user.inishell.pngxx.php)在同一目录下,再执行该目录下的php文件。例如:

	//.user.iniauto_prepend_file=1.png//1.png<?php phpinfo();?>//1.php(任意php文件)

三个文件在一个目录下,就相当于1.php文件开头插入了include('1.png');进行文件包含,因为1.png中有php代码,所以经过include之后会执行shell脚本。

解题

此题前后端都检测content-type值,只允许上传PNG文件。
在这里插入图片描述
上传.user.ini文件,内容为auto_prepend_file=shell.png在这里插入图片描述
上传shell.png文件
在这里插入图片描述
  从之前可以得知,upload文件夹下有一个index.php的文件,故访问../upload/index.php?cmd=phpinfo();,可以看到phpinfo的页面。

在这里插入图片描述

web 154

知识点:过滤<?php
绕过方法:使用短标签进行绕过(没有限制条件)。如:

<?php @eval($_GET['cmd']);?> == <=@eval($_GET['cmd']);>

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

此题过滤了php这一关键词。使用短标签进行绕过。

pyload:

<?=@eval($_GET['cmd']);?>

在这里插入图片描述
在这里插入图片描述

web 155

同web 154

web 156

知识点:过滤php[]关键字
绕过方法:

  • php关键字被过滤,使用php短标签进行绕过;
  • []被过滤,使用{}进行替换。例如:
    <?php @eval($_GET['cmd']);?> ==  <?php @eval($_GET{cmd});?>
    

payload:

<?=system('cat ../fl*')?>

在这里插入图片描述

web 157

在前面的基础上,过滤了{;,而且文件内容不能有php字符串。
绕过方法:

  • 过滤;,则在短标签里,可以省略;。例如:
<?php @eval($_GET{cmd});?> == <?php @eval($_GET{cmd})?>
  • 过滤{,那就不用eval函数接受参数,再执行系统命令,直接用system()函数执行系统命令。如<?=system(ls)?>
    -cat ../flag.php==cat ../fl*

payload:

<?=system('cat ../fl*')?>

在这里插入图片描述

web 158

同web157

web 159

在前面的基础上,过滤了(。绕过方法:直接用反撇号执行系统命令,反撇号就相当于shell_exec()函数。payload:

<?=`cat ../fl*`?>

在这里插入图片描述

web160

在前面的基础上,过滤了反撇号。绕过方法:

  1. 第一种方法:利用日志包含绕过。就是说有些中间件会将用户访问记录记在日志里,如果将webshell写到日志里,再包含日志,不就可以getshell了吗?操作:

    • 同样先上传.user.ini文件,内容为auto_prepend_file=shell.png
      在这里插入图片描述

    • 上传shell.png文件,文件内容为<?=include"/var/lo"."g/nginx/access.lo"."g"?>(log关键词被过滤),且将shell写在UA头中。

    • ngnix的日志路径为/var/log/nginx/access.log
    • php中,可以用.进行字符串的拼接;

    在这里插入图片描述

    • 访问xxx/upload/index.php.
  2. 第二种方法:因为已经知道flag的位置,通过php伪协议进行文件读取。

    • 同样先上传.user.ini文件,内容为auto_prepend_file=shell.png
    • 上传shell.png,文件内容为<?=include"ph"."p://filter/covert.base64-encode/resource=../flag.ph"."p"?>
    • 访问xxx/upload/index.php,再使用base64进行解码即可。
      在这里插入图片描述
      在这里插入图片描述

web 161

这关在前面的基础上,还进行文件内容检测(主要是使用getimagesize()函数进行检测),服务端主要检测文件幻数。其实就是检测文件内容开始的地方,不同后缀名的文件,文件起始的地方是不一样的。

这关很恶心嗷,前端验证只能为png文件,后端检测文件内容必须是gif。

绕过方法:制作图片马,更简单的就是用burp抓包,将你的shell写在文件内容里。

  1. 先上传.user.ini文件,内容为auto_prepend_file=shell.png(需要加gif文件的文件幻数GIF89a);
    在这里插入图片描述
  2. 上传shell.png,文件内容为<?=include"ph"."p://filter/covert.base64-encode/resource=../flag.ph"."p"?>,同样要加文件幻数GIF89a。
    在这里插入图片描述
  3. 访问../upload/index.php,使用base64进行解码。
    在这里插入图片描述
    在这里插入图片描述

相关文章:

ctfshow——文件上传

文章目录 文件上传思路web 151web 152web 153知识点解题 web 154web 155web 156web 157web 158web 159web160web 161 文件上传思路 web 151 打开页面显示&#xff1a;前台校验不可靠。说明这题是前端验证。 右键查看源代码&#xff0c;找到与上传点有关的前端代码&#xff1a…...

【RocketMQ每日一问】RocketMQ SQL92过滤用法以及原理?

1.生产端 public class SQLProducer {public static int count 10;public static String topic "xiao-zou-topic";public static void main(String[] args) {DefaultMQProducer producer MQUtils.createLocalProducer();IntStream.range(0, count).forEach(i -&g…...

Go语言中的包管理工具之Go Path的使用

GoLang 中常用的包管理的方式 1 &#xff09;概述 常用的有三种 Go PathGo VendorGo Modules 2 &#xff09;发展历程 早期go的包管理存在很大缺陷&#xff0c;甚至可以说没有官方统一的包管理工具 一方面官方在努力发布一些实验性的包管理工具。同时也出现了很多社区开发…...

cocos creator(2.4.7版本) webview 可以在上层添加UI控件

实现原理&#xff1a;cocos本身在平台中属于view,所以可以把webview放在底层&#xff0c;以达到目标。 实现过程&#xff1a;参考 cocos creator&#xff08;2.4.7版本&#xff09; videoplayer 可以在上层添加UI控件&#xff08;&#xff09; 需要增加以下过程&#xff1a; …...

2023 年四川省职业院校技能大赛“信息安全管理与评估”样题

2023 年四川省职业院校技能大赛&#xff08;高等职业教育&#xff09; “信息安全管理与评估”样题 竞赛需要完成三个阶段的任务&#xff0c;分别完成三个模块&#xff0c;总分共计 1000分。三个模块内容和分值分别是&#xff1a; 第一阶段&#xff1a;模块一 网络平台搭建与设…...

ubuntu2204,mysql8.x安装

ubuntu 2204, MySQL8.x安装 sudo apt-get update sudo apt-get upgrade# 习惯性的先设置一下时区,这里我使用东八区 date -R # 若发现时间正常则无需设置tzselect# 依次选择 4 -> 10 -> 1 -> 1cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtimedate -R# 同步时间…...

CG Magic分享云渲染和本地渲染之间的区别有什么?

无论是效果图渲染还是影视渲染&#xff0c;对于3D设计师来说都是常见的渲染方式就是云渲染和本地渲染。 本地电脑渲染是指将渲染任务分配给本地计算机进行处理&#xff0c;而云渲染是指将渲染任务上传至云端服务器进行处理。 对于一些初入行业的新手朋友来说&#xff0c;会在想…...

【算法与数据结构】763、LeetCode划分字母区间

文章目录 一、题目二、解法三、完整代码 所有的LeetCode题解索引&#xff0c;可以看这篇文章——【算法和数据结构】LeetCode题解。 一、题目 二、解法 思路分析&#xff1a;本题要求为&#xff1a; 1.尽可能多的划分片段2.字母只能出现在一个片段中3.片段连接起来仍然是s&…...

新火种AI|人形机器人敲响上市罗,首日市值高达390亿港元

作者&#xff1a;一号 编辑&#xff1a;彩云 ​ 史上第一次&#xff01;人形机器人在港交所和人类一起敲锣。 12月29日&#xff0c;在港交所现场&#xff0c;熊猫机器人优悠走上舞台&#xff0c;将手中的锣锤递给了优必选创始人、董事长兼CEO周剑&#xff0c;而同周剑一同准…...

SpringMVC框架

SpringMVC 三层架构MVC模式SpringMVC入门案例总结 三层架构 表现层&#xff08;web&#xff09; 页面数据的收集&#xff0c;产出页面 业务逻辑层&#xff08;service&#xff09; 业务处理 数据访问层&#xff08;Dao&#xff09; 数据持久化 MVC模式 SpringMVC 基于Java…...

FreeRTOS——计数型信号量知识总结及实战

1计数型信号量概念 1&#xff09;计数型信号量相当于队列长度大于1 的队列&#xff0c;因此计数型信号量能够容纳多个资源 2&#xff09;适用场景&#xff1a; 事件计数&#xff1a; 当每次事件发生后&#xff0c;在事件处理函数中释放计数型信号量&#xff08;计数值1&#x…...

Linux下Docker Engine安装后的一些配置步骤

一些安装后的配置令Linux主机可以更好地与Docker配合使用。 0x01 以非root用户身份管理Docker Docker守护进程绑定到Unix套接字&#xff0c;而不是TCP端口。默认情况下,root用户拥有Unix套接字&#xff0c;而其他用户只能使用 sudo. Docker守护进程始终以root用户身份运行。 …...

【并发设计模式】聊聊Balking是如何实现以及具体原理

前面的等待唤醒&#xff0c;其实是一个线程等待执行满足条件的逻辑&#xff0c;会一直死等&#xff0c;但是并不是全部的场景都需要死等。比如我们去坐车的时候&#xff0c;公交一直没来&#xff0c;那么就可以不去了。而等待唤醒是公交没来我就等他来了再去。 Guarded Suspen…...

dubbo的一些问题思考

1.dubbo是啥 Dubbo 是一个高性能的 Java RPC&#xff08;远程过程调用&#xff09;框架&#xff0c;用于构建分布式服务架构。由阿里巴巴开发并开源&#xff0c;作为一个分布式服务框架&#xff0c;Dubbo 提供了丰富的功能&#xff0c;包括服务治理、远程调用、负载均衡、容错机…...

盛最多水的容器(力扣11题)

例题&#xff1a; 分析&#xff1a; 这道题给出了一个数组&#xff0c;数组里的元素可以看成每一个挡板&#xff0c;要找到哪两个挡板之间盛的水最多&#xff0c;返回盛水量的最大值。这其实是一个双指针问题。 我们可以先固定第一个挡板( i )和最后一个挡板( j )&#xff0c…...

.babky勒索病毒解密方法|勒索病毒解决|勒索病毒恢复|数据库修复

导言&#xff1a; 网络安全威胁不断进化&#xff0c;其中.babky勒索病毒引起了广泛关注。这篇文章91数据恢复将深入介绍.babky的狡猾特征&#xff0c;以及在遭受其袭击时如何高效地恢复被加密的数据&#xff0c;并提供实用的预防方法。当面对被勒索病毒攻击导致的数据文件加密…...

20240103-通过布局让自己的生活有有意义人生有价值

最近听到看到的一些词 心力、稀缺、卓有成效、知行合一、致良知、心即理、事上练 最近琢磨出这么一个道理&#xff0c;就是任何人做事情其实都有内心趋势和一套适合他自己的内心驱动的方法。我们经常意识不到&#xff0c;我时常也会去寻求做一件事&#xff0c;是不是有特定的…...

JDK17 - 开发者视角,从 JDK8 ~ JDK17 都增加了哪些新特性

目录 前言 一、站在开发视角&#xff0c;从 JDK8 升级到 JDK17 都有哪些新特性 1.1、JDK8 新特性 1.1.1、Optional 类 a&#xff09;简介 b&#xff09;使用方法 c&#xff09;使用场景 1.2、JDK9 新特性 1.2.1、Optional - ifPresentOrElse 解决 if-else 1.2.2、Opt…...

八股文打卡day11——计算机网络(11)

面试题&#xff1a;HTTP多个TCP连接怎么实现&#xff1f; 我的回答&#xff1a; 1.HTTP1.0的时候&#xff0c;一个TCP连接只能进行一次请求响应。可以建立多个连接到服务器&#xff0c;这样就可以同时进行多个请求响应&#xff0c;提高传输效率。 2.HTTP1.1推出了持久连接&am…...

在Android设备上设置和使用隧道代理HTTP

随着互联网的深入发展&#xff0c;网络信息的传递已经成为人们日常生活中不可或缺的一部分。对于我们中国人来说&#xff0c;由于某些特殊的原因&#xff0c;访问国外网站时常常会遇到限制。为了解决这个问题&#xff0c;使用代理服务器成为了许多人的选择。而在Android设备上设…...

手游刚开服就被攻击怎么办?如何防御DDoS?

开服初期是手游最脆弱的阶段&#xff0c;极易成为DDoS攻击的目标。一旦遭遇攻击&#xff0c;可能导致服务器瘫痪、玩家流失&#xff0c;甚至造成巨大经济损失。本文为开发者提供一套简洁有效的应急与防御方案&#xff0c;帮助快速应对并构建长期防护体系。 一、遭遇攻击的紧急应…...

【根据当天日期输出明天的日期(需对闰年做判定)。】2022-5-15

缘由根据当天日期输出明天的日期(需对闰年做判定)。日期类型结构体如下&#xff1a; struct data{ int year; int month; int day;};-编程语言-CSDN问答 struct mdata{ int year; int month; int day; }mdata; int 天数(int year, int month) {switch (month){case 1: case 3:…...

关于nvm与node.js

1 安装nvm 安装过程中手动修改 nvm的安装路径&#xff0c; 以及修改 通过nvm安装node后正在使用的node的存放目录【这句话可能难以理解&#xff0c;但接着往下看你就了然了】 2 修改nvm中settings.txt文件配置 nvm安装成功后&#xff0c;通常在该文件中会出现以下配置&…...

YSYX学习记录(八)

C语言&#xff0c;练习0&#xff1a; 先创建一个文件夹&#xff0c;我用的是物理机&#xff1a; 安装build-essential 练习1&#xff1a; 我注释掉了 #include <stdio.h> 出现下面错误 在你的文本编辑器中打开ex1文件&#xff0c;随机修改或删除一部分&#xff0c;之后…...

高频面试之3Zookeeper

高频面试之3Zookeeper 文章目录 高频面试之3Zookeeper3.1 常用命令3.2 选举机制3.3 Zookeeper符合法则中哪两个&#xff1f;3.4 Zookeeper脑裂3.5 Zookeeper用来干嘛了 3.1 常用命令 ls、get、create、delete、deleteall3.2 选举机制 半数机制&#xff08;过半机制&#xff0…...

大语言模型如何处理长文本?常用文本分割技术详解

为什么需要文本分割? 引言:为什么需要文本分割?一、基础文本分割方法1. 按段落分割(Paragraph Splitting)2. 按句子分割(Sentence Splitting)二、高级文本分割策略3. 重叠分割(Sliding Window)4. 递归分割(Recursive Splitting)三、生产级工具推荐5. 使用LangChain的…...

【AI学习】三、AI算法中的向量

在人工智能&#xff08;AI&#xff09;算法中&#xff0c;向量&#xff08;Vector&#xff09;是一种将现实世界中的数据&#xff08;如图像、文本、音频等&#xff09;转化为计算机可处理的数值型特征表示的工具。它是连接人类认知&#xff08;如语义、视觉特征&#xff09;与…...

Spring Boot面试题精选汇总

&#x1f91f;致敬读者 &#x1f7e9;感谢阅读&#x1f7e6;笑口常开&#x1f7ea;生日快乐⬛早点睡觉 &#x1f4d8;博主相关 &#x1f7e7;博主信息&#x1f7e8;博客首页&#x1f7eb;专栏推荐&#x1f7e5;活动信息 文章目录 Spring Boot面试题精选汇总⚙️ **一、核心概…...

C# SqlSugar:依赖注入与仓储模式实践

C# SqlSugar&#xff1a;依赖注入与仓储模式实践 在 C# 的应用开发中&#xff0c;数据库操作是必不可少的环节。为了让数据访问层更加简洁、高效且易于维护&#xff0c;许多开发者会选择成熟的 ORM&#xff08;对象关系映射&#xff09;框架&#xff0c;SqlSugar 就是其中备受…...

Fabric V2.5 通用溯源系统——增加图片上传与下载功能

fabric-trace项目在发布一年后,部署量已突破1000次,为支持更多场景,现新增支持图片信息上链,本文对图片上传、下载功能代码进行梳理,包含智能合约、后端、前端部分。 一、智能合约修改 为了增加图片信息上链溯源,需要对底层数据结构进行修改,在此对智能合约中的农产品数…...