- 2024-10-30图片马的二次渲染
这里记录两个脚本,分别是用来伪造能绕过二次渲染的jpg和png图片马.打法挺固定的,都是需要通过文件包含来触发,然后回显会被写入图片.首先是jpg脚本,这个脚本要求目录中由一个1.jpg文件,然后是以这个文件为基础去进行伪造.<?php$miniPayload="<?=phpinfo();?>";if(!extensi
- 2024-09-28基于CTFshow的文件上传二次渲染绕过与CTF实战
1.二次渲染简介二次渲染指的是上传的文件(如图片),为了显示的更加规范(尺寸、像素),网站会对文件进行二次处理,经过解码或转换可能导致其中的恶意代码失效。例如,后门程序在图像渲染过程中可能被清除或无法执行。2.二次渲染存在性判断2.1文件大小变化访问上传的文件地址,重新下载下
- 2024-08-14文件上传漏洞的基本上传思路
一、仅做前端检测,未做后端校验:(ctfshow-web152)不允许上传.php等格式的文件1、禁用javascript2、先上传符合格式要求的.png图片-->Burpsuite修改后缀为.php绕过前端检测二、.user.ini文件利用:(ctfshow-web153).user.ini的作用类似于Apache服务器中的.htaccess配置文
- 2024-07-05golang go-bindata打包配置文件嵌入到二进制文件
go-bindata打包配置文件嵌入到二进制文件项目中难免会用到一些静态资源和配置文件,但是常规打包的二进制文件无法再其他目录正常运行(静态资源和配置文件不存在)有类似需求的可以安装使用:go-bindata进行编译处理配置文件go-bindata(go-bindata)包实现将项目静态配置文件嵌
- 2024-05-29WEB入门 - 文件上传
WEB入门-文件上传参考文章https://fushuling.com/index.php/2023/08/20/ctfshow刷题记录持续更新中/https://www.cnblogs.com/sen-y/p/15579078.htmlhttp://i0921.cn/blog/5dc52b0aba304f6314a9229f/662062c9ed9f76063b6ceb80web151<buttontype="button"class="layui