目录
无过滤:
前端过滤:
.htaccess:
MIME绕过:
双写后缀:
文件头检查:
无过滤:
直接传入一句话木马:
<?php @eval($_POST['1']);?>
然后用蚁剑连一下:
![](https://img-blog.csdnimg.cn/9b49e77234e04791beffcb18fcd6b9cd.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_17,color_FFFFFF,t_70,g_se,x_16)
得到flag:
![](https://img-blog.csdnimg.cn/a97392ed40114aad97b18820264e4ab8.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_12,color_FFFFFF,t_70,g_se,x_16)
前端过滤:
function checkfilesuffix()
{
var file=document.getElementsByName('file')[0]['value'];
if(file==""||file==null)
{
alert("请添加上传文件");
return false;
}
else
{
var whitelist=new Array(".jpg",".png",".gif");
var file_suffix=file.substring(file.lastIndexOf("."));
if(whitelist.indexOf(file_suffix) == -1)
{
alert("该文件不允许上传");
return false;
}
}
}
只有jpg、png、gif格式可以上传。
先上传符合形式的文件,然后用bp抓包,改包。
![](https://img-blog.csdnimg.cn/0b7ae386d933464d99b23571f3b41b30.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_20,color_FFFFFF,t_70,g_se,x_16)
改为:
![](https://img-blog.csdnimg.cn/3efabc16c8d84b32a363a152b777d2eb.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_20,color_FFFFFF,t_70,g_se,x_16)
再点击Forwdrd放回去,即可上传成功。
![](https://img-blog.csdnimg.cn/536f5e20d1c04b46820b9ce98bcf93c4.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_20,color_FFFFFF,t_70,g_se,x_16)
然后连接蚁剑,得到flag。
.htaccess:
由于和一道题是考察有关htacess的知识点,所以补充一了下自己的知识空白:
htaccess文件是Apache服务器中的一个配置文件,他负责相关目录下的网页配置。通过htaccess文件,可以帮助我们实现:网页301重定向,自定义404错误页面,改变文件扩展名,允许或组织特定的用户或者,目录的访问,禁止目录列表,配置默认文档等功能。
由于.htaccess文件可以被替换掉,所以首先上传一个名为.htaccess的文件。
![](https://img-blog.csdnimg.cn/3c329bedaf0b4901ba54c0c7b0625715.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_19,color_FFFFFF,t_70,g_se,x_16)
文件意为将png文件当作php文件解析。
所以上传一个后缀为png且含有一句话木马的文件即可。
然后连接蚁剑得到flag。
MIME绕过:
先上传1.png文件:
![](https://img-blog.csdnimg.cn/6b5a6ec095f14f9fa3a56fd047161d72.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_9,color_FFFFFF,t_70,g_se,x_16)
然后抓包,放到Repeater里边修改上传。
![](https://img-blog.csdnimg.cn/02c221f0f22e4d1580caee6bb64f5241.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_20,color_FFFFFF,t_70,g_se,x_16)
然后用蚁剑连一下,得到flag。
![](https://img-blog.csdnimg.cn/7e99ef8a2d4b4cdba981907493d3b415.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_12,color_FFFFFF,t_70,g_se,x_16)
00截断:
在url中%00表示ascll码中的0 ,而ascii中0作为特殊字符保留,表示字符串结束,所以当url中出现%00时就会认为读取已结束。
所以我们可以利用这一特点来用%00上传文件。
先上传1.png文件,然后抓包,改一下:
![](https://img-blog.csdnimg.cn/d7d6ae6b0d6f463abaf6408b3e335551.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_20,color_FFFFFF,t_70,g_se,x_16)
然后放回去,即可上传成功(注意不要直接进入Repeater,不能上传,好像是解析不了%00)
然后用蚁剑连一下,得到flag。
而且可以看一下,上传的确实是php文件,说明了%00截断成功。
![](https://img-blog.csdnimg.cn/e9b562bfbfdc40d4b7bd4badc052740a.png)
![](https://img-blog.csdnimg.cn/12de86cce718463883a6eb35b7edecfb.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_13,color_FFFFFF,t_70,g_se,x_16)
双写后缀:
上传时将 Burpsuite 截获的数据包中文件名修改为1.pphpph,当第一个php被截获后,第一个的p和后边的hp有形成了一个php。
首先我直接上传了一个1.php文件
![](https://img-blog.csdnimg.cn/7030565680da4731a0dc70706ea5d908.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_20,color_FFFFFF,t_70,g_se,x_16)
发现php被过滤,我又多试了几次,发现只会过滤一个php,所以利用双写绕过。
上传一个1.pphphp文件。
![](https://img-blog.csdnimg.cn/24845ac44efc46929e69c8c7362a43bc.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_20,color_FFFFFF,t_70,g_se,x_16)
会自动变为1.php。
然后用蚁剑连接一下。
![](https://img-blog.csdnimg.cn/8e7a0cf1fade4208a8bd50cd3941e158.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_17,color_FFFFFF,t_70,g_se,x_16)
得到flag。
![](https://img-blog.csdnimg.cn/095da343248441b4a032dd5dec7635ee.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_12,color_FFFFFF,t_70,g_se,x_16)
文件头检查:
上传png木马文件时会发现文件错误,应该是对文件进行了分析,看到名字就知道解析的是文件头,所以直接改一下文件头。
先上传一个正常的png文件然后将绝大部分后边文件删去(文件最好小一点,只留下文件的头部)
![](https://img-blog.csdnimg.cn/2f484881d0cf4bb6a0326e17c6db4acb.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_20,color_FFFFFF,t_70,g_se,x_16)
然后直接用蚁剑连。
![](https://img-blog.csdnimg.cn/dce311d86e1f4932a92100dad008b9ff.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_20,color_FFFFFF,t_70,g_se,x_16)
得到flag。
![](https://img-blog.csdnimg.cn/c37e31fa9216415db4f05b17fc6dd62a.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAZmVuZz93b3c=,size_16,color_FFFFFF,t_70,g_se,x_16)