CTFHub-web(文件上传wp+总结)

无验证

创建文件webshell.php，写入一句话木马：

直接上传，然后蚁剑连接

前端验证

查看源码

文件名改为webshell.php.png，然后抓包，去掉.png再提交，绕过js验证

上传文件成功，返回路径

/upload/webshell.php

蚁剑连接

URL: http://challenge-5bf3cd70198a12f8.sandbox.ctfhub.com:10080/upload/webshell.php
连接密码: shell

.htaccess

​ .htaccess文件(或者"分布式配置文件"）提供了针对目录改变配置的方法， 即，在一个特定的文档目录中放置一个包含一个或多个指令的文件， 以作用于此目录及其所有子目录。作为用户，所能使用的命令受到限制。

​ 概述来说，htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。通过htaccess文件，可以帮我们实现：网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。

​ 简单来说，就是我上传了一个.htaccess文件到服务器，那么服务器之后就会将特定格式的文件以php格式解析。

漏洞利用

//方法一
SetHandler application/x-httpd-php  	//所有的文件当做php文件来解析

//方法二
AddType application/x-httpd-php .png	//.png文件当作php文件解析

创建.htaccess文件，在文件中写入如下代码，然后上传

AddType application/x-httpd-php .png

再上传.png文件，写入一句话木马

使用蚁剑连接

MIME绕过

文件头检查

创建一个包含一句话木马的图片，将其和一张图片合成为图片木马

这里注意，用来合成图片马的那张图片不要太大，不然可能报错(我被折磨好久了0.0)

00截断

使用%00截断有两个条件

• php版本小于5.3.4
• magic_quotes_gpc为off状态

如果这时我们将magic_quotes_gpc改为on那么就不能截断了，因为开启magic_quotes_gpc后%00会被加上一个反斜杠转义掉

双写后缀