CTFHub技能树-文件上传
[TOC]
文件上传
来源:CTFHub技能树
无验证
直接上传一句话木马,会显示路径,直接蚁剑连接找到flag。
前端验证
查看源代码,发现进行了前端验证,必须是jpg,png或者gif文件。
直接抓包改包发送绕过
上传成功,直接蚁剑连接找flag就行。
.htaccess
知识:htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能
介绍:hatccess文件,.htaccess是Apache的又一特色。
● 一般来说,配置文件的作用范围都是全局的,但Apache提供了一种很方便的、可作用于当前目录及其子目录的配置文件——.htaccess(分布式配置文件),
● 提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。
● 作为用户,所能使用的命令受到限制。
● 简单来说,就是我上传了一个.htaccess文件到服务器,那么服务器之后就会将特定格式的文件以php格式解析。
所以先创建一个 .htaccess的文件,里面输入
1
2
3 <FilesMatch "pass777">
SetHandler application/x-httpd-php
</FilesMatch>表示文件名中包含pass777的文件都会被当作php执行
所以再写一个一句话木马,文件名中包含pass777,上传后用蚁剑连接就能拿到flag
ctfhub{2428d2cef017f7d0e902eaac}
MIME绕过
直接将一句话木马后缀改成jpg,然后抓包修改成php,蚁剑连接就能拿到
ctfhub{c76881cacfd16db8afee74fd}
00截断
根据前端提示,发现上传类型限制成了jpg,png,gif文件,并且如果文件类型被允许,构造目标路径(
$des
),该路径由$_GET['road']
(从URL的查询字符串中获取),一个随机数(10到99之间),当前日期和时间(格式为YmdHis
),以及文件扩展名组成,并使用move_uploaded_file()
函数将上传的文件从临时目录移动到目标目录($des
)所以在路径处修改成.php的路径,然后用%00截断,让后面添加的目录失效
由于我们修改了路径,所以保存路径就是原来的/upload/yjh-cmd.php
蚁剑连接challenge-a074b1b840a3ecbe.sandbox.ctfhub.com:10800/upload/123.php
ctfhub{e158c8b8eb6fdb23553ce830}
双写后缀
1 | <!-- |
看提示发现过滤了一系列后缀,然后会把后缀替换成无,所以双写绕过,如:yjh.pphphp
ctfhub{a0a5473d07fac34189262488}
文件头检查
先随便上传一个文件,然后有提示
那就抓包修改文件类型,同时在一句话木马前加上GIF89a,用来表示这是一个图片
蚁剑连接得到flag
ctfhub{5602bccd8ab06a8c2408fb81}