極客大挑戰 2019 Upload

2022-07-19 19:33:14 字數 1585 閱讀 6368

0x00

開啟介面,發現是一道上傳題

首先我們來測試一下上傳的檔案型別,新建乙個檔案命名為1.jpg,進行上傳,得到

根據提示我們可以猜測到,對檔案頭進行了檢測,這裡我們假設使用的是exif_imagetype函式,在檔案裡第一行加上gif89a來繞過,上傳得到結果如下

上傳成功,說明我們的假設是正確的,我們將檔案重新命名為1.php,進行上傳,得到結果如下

說明對檔案的拓展名也進行了過濾,進行模糊測試,發現與php相關的全被過濾掉

通過谷歌外掛程式看到站點使用的是nginx,上傳.user.ini也上傳失敗

我們繼續假設後端對資料報的content-type型別進行了過濾,來進行測試,上傳1.php並且通過burpsuite進行如下修改

得到結果如下,說明後端還對拓展名進行了過濾,繼續進行模糊測試

模糊測試後發現沒有過濾phtml,上傳結果如下

接下來我們上傳一句話木馬,將1.phtml的內容改為如下

gif89a

<?php @eval($_post['pass']);?>

得到結果如下,對內容也進行了過濾

我們將1.phtml的內容改為如下來繞過

gif89a
上傳後得到如下結果

我們開啟1.phtml,經過一系列測試發現被上傳到了upload路徑下,訪問結果如下

開啟蟻劍進行連線

獲取flag

0x01 總結

<?php @eval($_post['pass']); ?>

## 替換為如下

極客大挑戰 2019 PHP

開啟以後,是三個php原始碼,其中最重要的是class.php,如下 include flag.php error reporting 0 class name function wakeup function destruct if this username admin else 看了一下,這個...

極客大挑戰 2019 HardSQL wp

有過濾,抓個包fuzz一下 等號,空格等被過濾 發現可以用報錯注入,空格可以用括號代替 查表名username admin or extractvalue 1,concat 0x7e,select group concat column name from information schema.co...

極客大挑戰 2019 PHP

剛進入 我們可以看到這樣的乙個介面 根據內容提示,有備份 的習慣 日常後台掃瞄,發現有www.zip檔案,我們進行解壓得到 看到flag.php開啟檢視,發現沒有什麼有用的資訊。我們開啟index.php看看 我們可以看到通過get方式傳入引數select,並對引數select進行反序列化。接下來,...