CTFHub-Web-文件上传练习
目录
-
- 0x00 无验证
- 0x01 前端验证
- 0x03 .htaccess
- 0x04 MIME绕过
- 0x05 文件头检查
- 0x06 00截断
- 0x07 双写后缀
- 总结
0x00 无验证
上传一句话木马1.php
@eval($_POST["pass"]);?>
上传文件相对路径upload/1.php
使用蚁剑连接,连接密码为pass
查看目录,flag就在这里
0x01 前端验证
上传一句话木马,结果提示该文件不允许上传
题目是前端验证,直接查看网页源代码,发现只能上传.jpg,.png,.gif三种格式的文件
把1.php改为1.jpg,然后上传抓包
1.jpg再改为1.php,然后放包
上传成功,得到相对路径upload/1.php
还是一样的操作,蚁剑连接,查找目录,找到flag
0x03 .htaccess
题目描述:htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能
访问
查看源代码,发现文件后缀都被禁用了
百度一下hatccess文件,.htaccess是Apache的又一特色。一般来说,配置文件的作用范围都是全局的,但Apache提供了一种很方便的、可作用于当前目录及其子目录的配置文件——.htaccess(分布式配置文件)
.hatccess文件有两种写法
第一种方法:
下面代码的意思是,只要文件名中包含pass,就会被Apache解析为php文件。
<FilesMatch "pass">
SetHandler application/x-httpd-php
</FilesMatch>
提示文件名不能为空,命名为3.hatccess,用bp抓包,将3.htaccess改为.htaccass,然后放包
.htaccass文件上传成功
把上面用到的1.php改为3.pass文件,上传文件相对路径upload/3.pass
蚁剑连接,可以看到上传的文件
查找flag
第二种方法:·
内容为
AddType application/x-httpd-php .jpg
就成功地使该.htaccess文件所在目录及其子目录中的后缀为.jpg的文件被Apache当做php文件
上传test.htaccess
上传成功
再上传3.jpg,内容为 ,获取到上传文件路径
蚁剑连接,连接成功。
参考文章:文件解析漏洞
0x04 MIME绕过
直接上传4.php,提示文件类型不正确
来使用MIME绕过,百度了解一下MIME
MIME(Multipurpose Internet MailExtensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。MIME 消息能包含文本、图像、音频、视频以及其他应用程序专用的数据。
MIME多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式每个MIME类型由两部分组成,前面是数据的大类别,例如声音 audio、图象 Image等,后面定义具体的种类。
常见的MME类型,例如:
#text表明文件是普通文本
text/plain
text/html
#image表明是某种图像或者动态图(gif)
image/jpeg
image/png
#audio表明是某种音频文件
audio/mpeg
audio/ogg
audio/*
#video表明是某种视频文件
video/mp4
#application表明是某种二进制数据
application/*
application/json
application/javascript
application/ecmascript
application/octet-stream
上传4.php,使用bp抓包,修改Content-Typed的值,改成Content-Type: image/jpeg,然后放包
上传成功,得到文件相对路径
蚁剑连接,查找目录文件,即可得到flag
参考文章: MIME 类型
0x05 文件头检查
上传一句话木马5.php,提示文件类型不正确
再把5.php修改成5.jpg上传,发现提示文件错误
尝试MME绕过,上传5.php,抓包,修改Content-Typed的值,然后放包,发现提示文件错误
应该是对文件内容进行了检测,来制作一个图片码m.php
抓包修改Content-Type的值,放包
结果提示文件错误
看了大师傅的wp,说尽量换小一点的图片,就会成功,这次换了一个非常小的图片,重新制作图片马
上传flag.php,抓包修改Content-Type的值为image/png
上传成功,得到上传路径
蚁剑连接,拿到flag
0x06 00截断
了解一下00截断,关于上传中的00截断分析
上传一句话木马,提示文件类型不匹配, 但在url栏出现了路径信息
查看源代码
上传shell.jpg,抓包
构造00截断,添加shell.php%00,放包
上传成功路径为upload/shell.php,蚁剑连接
拿到flag
0x07 双写后缀
上传一句话木马shell.php,虽然上传成功,但后缀却消失了
查看源码,$name = str_ireplace($blacklist, "", $name);,变量blacklist里面的值会被替换,后缀被过滤了
继续上传shell.php,然后抓包修改成shell.pphphp,中间的php字符串被过滤,剩下的p和hp就组合成了php。
文件上传成功,得到文件上传路径
蚁剑连接,flag就在这
总结
我们可以通过上传一些平时不怎么用的容易被人忽视的文件扩展名,来绕过这种类型的验证。
黑名单绕过
通过上传不受欢迎的php扩展来绕过黑名单。例如:pht,phpt,phtml,php3,php4,php5,php6
白名单绕过
通过某种类型的技巧来绕过白名单,例如添加空字节注入(shell.php%00.gif),或使用双重扩展来上传文件(shell.jpg.php)。
扩展名大小写来绕过
例如:pHp,Php,phP。
双写后缀绕过
例如:pphphp