第二周作业wp
- [SWPUCTF 2021 新生赛]easyupload3.0
题目提示已经很明显了,我们要提交一个.jpg的文件。那么我们就把一个木马文件做成jpg文件。
这里我们把文件成功上传,然后通过蚁剑连接
连接之后,寻找flag。
如图,成功找到。
2. [HNCTF 2022 Week1]easy_upload
直接上传一句话木马。
然后用蚁剑连接。
连接成功,在文件中找到flag文件
成功得到flag。
3.[SWPUCTF 2021新生赛]easyupload2.0
这里试着上传了php的木马文件,被过滤了。 根据提示上传一个图片木马
然后把上传路径连接蚁剑。发现连接是空的。说明还是只能上传php文件
因为php被过滤了。所以我们用.php的别名——phtml来抓包改包
发现回显成功,我们通过上传的路径连接蚁剑。
发现连接成功。那么还是一样的步骤,通过文件查找flag。
成功得到。
4. [NISACTF 2022]babyupload
这里我们传所有的文件都被拦截了,我们打开源码看看,到底禁了什么。
但是这个页面没有具体的源码,但是,给了我们一个提示就是要访问/source,我们直接访问,自动下了一个压缩包,打开发现是源码
这里我们直接看最关键的
def upload() 要求上传的文件不能有后缀,且文件名前会拼接一个前缀upload/,使得输出的文件只能是在目录upload/下的,这里就涉及到os.path.join()的绝对路径拼接漏洞
绝对路径拼接漏洞
os.path.join(path,*paths)函数用于将多个文件路径连接成一个组合的路径。第一个函数通常包含了基础路径,而之后的每个参数被当作组件拼接到基础路径之后。
然而,这个函数有一个少有人知的特性,如果拼接的某个路径以 / 开头,那么包括基础路径在内的所有前缀路径都将被删除,该路径将视为绝对路径。
就是说传/flag,那么之前的upload/就会删除,就直接读取了根目录下的flag文件。抓包将文件名改为/flag。
5. [NISACTF 2022]bingdundun~
这里我们用传统思维去试试
发现毫无用处,我们只能另寻他法。
这里我们要用到phar://
phar://
主要是用于在php中对压缩文件格式的读取。这种方式通常是用来配合文件上传漏洞使用,或者进行进阶的phar反序列化攻击
phar://伪协议是 PHP 中一个非常强大但也极其危险的伪协议(Wrapper)。它的核心功能是让你能够像访问普通目录一样,直接访问 Phar(PHP Archive)归档文件中的内容,而无需先解压整个文件。
这里竟然要上传压缩包,并且我们刚刚也尝试了,发现它并不能直接访问,所以我们就要用phar://
这里我们要注意:phar://的格式,最后有一个内部文件路径
phar://[路径/to/归档文件.phar]/[内部文件路径]
成功夺旗
6. [MoeCTF 2022]what are y0u uploading?
上传图片木马,这里是要一个f1ag.php,所以这里就把文件名改为f1ag.php。
成功夺旗。
7. [SWPUCTF 2022 新生赛]file_master
直接访问index.php,得到源码
源码要求我们上传的图片木马有长度和宽度限制。我们学到一招就是直接加定义就好了。就是直接在文件内容前加:
#define height 1
#define width 1 (后面的数字可以随便改,这道题的限制是20,所以只要不超过20就行)
Os:这里的代码说的是文件内容不能包含php,而我们常规的木马中就是包含着php,所以我们要换种写法。(大坑,我栽了好几次才反应过来。)
这里的会话id从下图这里找。
然后通过提示,输入会话id和文件名字。这里用蚁剑。但是,蚁剑没有开权限,只能另寻他法。
这里就用post传参。
8. 前端验证
访问index.php,查看白名单,上传图片木马,然后抓包改包
得到相对路径,蚁剑连接。
成功夺旗。
9. [SWPUCTF 2021 新生赛]easyupload1.0
还是老样子,上传图片木马,然后抓包改包
然后蚁剑连接。
发现这个flag是假的!!!
按照经验,flag大概率又藏在phpinfo里面,访问phpinfo
查找flag。成功夺旗!
10.[极客大挑战 2019]Upload
还是老样子,我们上传一个php木马文件。发现他要图片格式,那我们就把Content-Type修改为image/png。
发现把文件类型修改了还是不行,这里又提示不能用<?当文件头。
这里我们<script>标签
<script language="php">
使用了 script 标签,但通过language='php'属性,明确表示这是PHP代码。这段代码会在服务器端被PHP解释器执行
这里我没有传图片马,被检测出来了,用GIF89a充当图片头,绕过这里
成功上传。之后就是老样子,用蚁剑连接,成功夺旗!
11. [NewStarCTF 2023 公开赛道]Begin of Upload
这里写了白名单,我们只能上传图片格式。老样子,抓包改包。
然后连接蚁剑。出来了
12.[NewStarCTF 2023公开赛道]Begin of Upload
这题我们可以常规的上传一个php文件。发现被过滤了,接着,我们把写有木马的jpg文件,也不可以。
这里我们就要考虑是不是过滤了文件头<?,所以我们就试试换个文件头试试。
发现上传成功,这里我们直接访问,发现页面是以图片为格式的。
同时,连接蚁剑,发现返回数据为空。
这里的Type application/x-httpd-php .jpg 是 Apache Web 服务器配置文件(如 .htaccess 或 httpd.conf)中的一条指令,用于强制将特定扩展名的文件(如 .jpg)当作 PHP 脚本解析而非静态资源处理。
通过 AddType 指令,将扩展名为 .jpg 的文件关联到 MIME 类型 application/x-httpd-php,使 Apache 调用 PHP 解析器处理这些文件。
例如:访问 example.com/image.jpg 时,若该文件包含 PHP 代码(如 <?php phpinfo();?>),代码会被执行而非直接显示图片内容。
所以这里上传.htaccess文件,用于把刚刚的jpg文件转换为php文件打开。
这里上传完了,页面是空白的,说明我们的方法成功了。
所以我们用蚁剑连接,连接成功。
找到flag。
13. [HarekazeCTF2019]Avatar Uploader 1
这题刚开始是让你登录账号。直接输入昵称就进来了。进来以后发现要上传一个png文件。题目是有个附件,里面有源码。
这个源码的讲究特别多啊
在检查文件类型时,finfo_file()函数检测上传图片的类型是否是image/png
在检查文件长宽时,getimagesize() 函数用于获取图像大小及相关信息,成功将返回一个数组
别急,还有
索引2不是PNG,将输出part 1的flag
意思就是这个题它既要是png文件格式,又不能真的是png文件,所以我们直接把一张png图片导入winhex里面,取它的文件头,然后保存上传
的确,这样一来文件大小,类型都满足题目的要求,所以flag就出来了
14. [ACTF2020 新生赛]Upload
我们还是老样子,直接上传php木马文件,发现只能传图片文件
传个图片木马,然后抓包改包
成功夺旗
15. [LitCTF 2023]ez_XOR
打不开附件,打开了一堆乱码
16. [SWPUCTF 2021 新生赛]gift_pwn
这里我看大佬们的wp都是把附件拖进ida里面,但是为什么我的ida无法加载?求指导
17.上传
这道题真的气到我了
首先,我上传经典php文件,如下图
然后,我传了一个改了文件头的jpg木马,发现可以上传,那么它应该是过滤了文件头。然后我用之前的办法上传了下图的htaccess文件,发现蚁剑连不上去。
然后我看了大佬的思路,有可能是script也被识别成php文件了,所以也被过滤了,所以我们把htaccess换成下图
这个的意思同样也是把文件解读为php格式, 然后后面一句是将2222.jpg这个文件base64解码。所以我们就把一句话木马编成base64的形式然后依次上传
这里我真的搞不懂了照着大佬的wp一步步写的,还是连接不上蚁剑,我根本不知道哪里出问题了。我重新开靶场就开了3次,怀疑是不是目录位置错了,一点点的删,一点点的加,还是连不上。我无语了。
18. [SWPUCTF 2022 新生赛]easyre
把文件拖进ida,按主函数F5就出来了。
19. [LitCTF 2023]这羽毛球怎么只有一半啊(恼 (初级)
Ok,打开附件我们发现只有纳西妲的上半身
我们直接把它导进winhex里面。下图第二行的前四位代表着宽,而后四位代表高,这里原本第六位是05的,我们直接把它扩大一倍,改成10.之后我们保存出来看,发现高调大了,但是图片整体出来了。
所以这里我们只需要把高调得尽量大就可以,这样我们识别图上文字,就有了flag。
20. [陇剑杯 2021]webshell(问1)
这题需要我们找密码,既然是流量分析题,我们就打开wireshark。
并且输入过滤命令,直接找密码。找到密码后,套上NSSCTF{}就可以了。
问题总结:
- 文件上传部分总体没有太大问题,主要问题就是wp的17题,也就是困难题。为什么我上传了htaccess文件,也读取了,然后上传base64编码的jpg文件,同样也读取了,可是蚁剑就是连接不上。试了无数遍,都没有办法。。。
- 就是新接触的题型,wp的15,16题。15题我不知道怎么去用远程连接,用什么去远程连接,我看大佬们的wp,我太菜了,发现我根本看不懂。15题的附件根本打不开,16题ida也打不开,求师姐讲解
.Vadere简介与安装)
.用户界面操作)
