ctfhub技能树web 文件上传

ctfhub技能树web 文件上传

需要工具：1.菜刀工具（中国蚁剑，用中国菜刀可能会报错）
2.burpsuite
3.一句话木马 木马如下：

1.无验证

既然题目说无限制，那么直接上传木马

提示上传成功

并且告诉了上传路径
打开菜刀工具


获得了flag。

前端验证

如题目描述，过滤过程应该是在前端的，查看源码

有一个白名单，只允许.jpg .png .gif的文件上传，将木马文件的后缀名改成白名单中的，再用burp抓包后修改后缀名提交即可。

提示上传成功，再用菜刀工具重复第一题操作即可获得flag

这题在浏览器设置禁用js也可以解

3.htaccess

看源码显示后端设置了黑名单，先上传.hatccess文件

将jpg文件按php格式解析
然后上传木马（.jpg）

点提交后显示上传成功，之后在用菜刀工具即可拿到flag（这里菜刀工具木马路径后要用.jpg后缀）

4.MIME绕过

尝试上传木马并抓包

修改content-type为image/png并发送


提示上传成功，之后用菜刀工具即可拿到flag

5.00截断

查看源码，后端设置了过滤。
题目描述要用00截断
将木马后缀改成白名单内的后缀，之后用00截断，发送

发送提示上传成功
使用菜刀工具

拿到flag。

6.双写后缀

尝试上传木马
提示上传成功，但是缺少了后缀名

选择不同的文件名上传，发现"php"都被删除了，查看源码

看到设置了一个黑名单，在黑名单内的后缀都会被删除，所以我们要想办法凑出"php",所以将文件后缀名改成.pphphp,上传后删除了后缀名中间的php，后缀名就变为.php。

上传成功，且上传的后缀名变为.php，这样我们就可以继续用菜刀工具拿去flag了。

7.文件头检测

尝试上面的MIME解法修改 content-type为image/png仍然报错，按题目描述一个是对文件头进行了过滤。
下面是常见的文件头：
JPEG (jpg)， 　　文件头：FFD8FF　　　　　　　　　　　　　　
PNG (png)， 　　 文件头：89504E47 文件尾：0000000049454E44AE426082
GIF (gif)， 　　文件头：47494638
ZIP Archive (zip)， 文件头：504B0304 文件尾：00000000
TIFF (tif)， 　 文件头：49492A00
Windows Bitmap (bmp)， 　 文件头：424D
CAD (dwg)， 　 文件头：41433130
Adobe Photoshop (psd)， 文件头：38425053
Rich Text Format (rtf)， 文件头：7B5C727466
XML (xml)， 文件头：3C3F786D6C
HTML (html)， 文件头：68746D6C3E
Email [thorough only] (eml)， 文件头：44656C69766572792D646174653A
Outlook Express (dbx)， 文件头：CFAD12FEC5FD746F
Outlook (pst)， 文件头：2142444E
MS Word/Excel (xls.or.doc)， 文件头：D0CF11E0
MS Access (mdb)， 文件头：5374616E64617264204A
WordPerfect (wpd)， 文件头：FF575043
Adobe Acrobat (pdf)， 文件头：255044462D312E
Quicken (qdf)， 文件头：AC9EBD8F
Windows Password (pwl)， 文件头：E3828596
RAR Archive (rar)， 文件头：52617221
Wave (wav)， 文件头：57415645
AVI (avi)， 文件头：41564920
Real Audio (ram)， 文件头：2E7261FD
Real Media (rm)， 文件头：2E524D46
MPEG (mpg)， 文件头：000001BA
MPEG (mpg)， 文件头：000001B3
Quicktime (mov)， 文件头：6D6F6F76
Windows Media (asf)， 文件头：3026B2758E66CF11
MIDI (mid)， 文件头：4D546864

用winhex添加文件头应该能绕过检测，我们也可以用图片一句话木马（这样能自动为木马添加图片的文件头。）
用cmd制作好图片木马上传抓包，修改后缀发送

使用菜刀工具

拿到了flag