NSS [UUCTF 2022 新生赛]ez_upload

这篇具有很好参考价值的文章主要介绍了NSS [UUCTF 2022 新生赛]ez_upload。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

NSS [UUCTF 2022 新生赛]ez_upload

考点:Apache解析漏洞

开题就是标准的上传框

NSS [UUCTF 2022 新生赛]ez_upload,CTF-web(零散wp合集),web安全,文件上传,Apache

起手式就是传入一个php文件,非常正常的有过滤。

NSS [UUCTF 2022 新生赛]ez_upload,CTF-web(零散wp合集),web安全,文件上传,Apache

.txt.user.ini.txxx都被过滤了,应该是白名单或者黑名单加MIME过滤,只允许.jpg.png

猜测二次渲染,传了图片马上去,但是没什么用,还抓不到包了。

NSS [UUCTF 2022 新生赛]ez_upload,CTF-web(零散wp合集),web安全,文件上传,Apache

network看了一下报文发现是Apache,版本是2.4.10考虑到解析漏洞。

NSS [UUCTF 2022 新生赛]ez_upload,CTF-web(零散wp合集),web安全,文件上传,Apache

Apache解析漏洞_蒙奇奇的博客-CSDN博客

Apache解析漏洞分为三种


一、因为Apache默认一个文件可以有多个用.分割得后缀,当最右边的后缀无法识别(mime.types文件中的为合法后缀)则继续向左看,直到碰到合法后缀才进行解析(以最后一个合法后缀为准)

shell.php.xxx因为后缀.xxx不合法,所以向左看,.php为合法后缀,解析为.php格式文件。


二、AddHandler导致的解析漏洞

如果服务器给.php后缀添加了处理器:AddHandler application/x-httpd-php.php
那么,在有多个后缀的情况下,只要包含.php后缀的文件就会被识别出php文件进行解析,不需要是最后一个后缀。如shell.php.jpg中包含.php,所以解析为php文件


三、Apache换行解析漏洞(CVE-2017-15715)

影响范围:2.4.0-2.4.29版本

原因:合法后缀配置文件中的正则表达式中$不仅匹配字符串结尾位置,还可以匹配\n\r,在解析时,shell.php\x0A将按照.php进行解析,而’.php\x0A’ != ‘.php’,如果过滤时过滤了.php但没有过滤.php\x0A从而实现绕过。


但是wp是shell.jpg.php会被当成php解析?????????????????

版本是2.4.102.4.0-2.4.29以内,应该是Apache换行解析漏洞(CVE-2017-15715)啊。不懂,但他是对的。

注意这里还要改一下MIME,加一个魔术文件头。

NSS [UUCTF 2022 新生赛]ez_upload,CTF-web(零散wp合集),web安全,文件上传,Apache

NSS [UUCTF 2022 新生赛]ez_upload,CTF-web(零散wp合集),web安全,文件上传,Apache文章来源地址https://www.toymoban.com/news/detail-638865.html

到了这里,关于NSS [UUCTF 2022 新生赛]ez_upload的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • NSS [MoeCTF 2022]ezphp

    先看题目,看到这个就想到了BUU的mark love cat。但是完全不一样,这道题exit()在foreach()之前 法一且唯一: echo回显flag 如果要echo,那么不能exit,那么必须传flag(get或者post),并且传入flag不能等于\\\"flag\\\",如果要¥flag的值不会被更改,那就得提前“储存”flag。顺序不能变,必须

    2024年02月12日
    浏览(39)
  • NSS [MoeCTF 2022]baby_file

    题目源码直接给了 使用data伪协议发现被ban了。 那就换一种伪协议 php://filter ,猜测flag在同目录下 flag.php 中或根目录下 /flag 中 读取文件源码(针对php文件需要base64编码) 解码后发现flag

    2024年02月13日
    浏览(48)
  • [SWPUCTF 2022 新生赛]numgame

    这道题有点东西网页一段计算框,只有加和减数字,但是永远到大不了20,页面也没啥特别的,准备看源码,但是打不开,我以为是环境坏掉了,看wp别人也这样,只不过大佬的开发者工具可以打开,我的就不行 最后试了一下,你要么就在网页右上角更多工具里面手动打开,

    2024年02月13日
    浏览(36)
  • 【pwn】[SWPUCTF 2022 新生赛]InfoPrinter--格式化字符串漏洞,got表劫持,data段修改

    下载附件,checksec检查程序保护情况: No RELRO ,说明got表可修改 接下来看主程序: 函数逻辑还是比较简单,14行出现格式化字符串漏洞,配合pwntools的fmtstr_payload模块可直接攻击,然后就是题目提供了libc,然后第10行又泄露puts函数的地址,可直接计算出基址,然后就是/bin/sh这

    2024年02月08日
    浏览(60)
  • NSS刷web(1)

    一点点做,简单的也不跳了,就当回忆知识了 ctrl+u 改ua xff 访问robots.txt 传phtml 改mime 绕过wakeup 低版本php可以让序列化中属性的个数与实际不符来绕过 生成的序列化值 O:6:\\\"HaHaHa\\\":2:{s:5:\\\"admin\\\";s:5:\\\"admin\\\";s:6:\\\"passwd\\\";s:4:\\\"wllm\\\";} 手动改完 O:6:\\\"HaHaHa\\\":3:{s:5:\\\"admin\\\";s:5:\\\"admin\\\";s:6:\\\"passwd\\\";s:4:\\\"wllm\\\";}

    2024年02月09日
    浏览(37)
  • NSS周常刷密码(2)

    解答过程在脚本内 小e 共模 p高位泄露 解得 然后发现这么搞有问题,我是没对上格式md5能对 所以用如下脚本 加解密 key是YOU 这题考威尔逊定理 n能分解 另一种做法是解x和y https://quipqiup.com/ 一把梭 已知p高位q低位 由 N ≡ p l ∗ q l   m o d   2 265 P l ≡ N ∗ q l − 1   m o

    2024年02月08日
    浏览(38)
  • NSS [CISCN 2019初赛]Love Math

    开题直接给源码 代码分析: foreach():用来遍历一个数组 preg_match_all():搜索 content 中所有匹配给定正则表达式的匹配结果并且将它们输出到 used_funcs 中. preg_match_all(\\\'/[a-zA-Z_x7f-xff][a-zA-Z_0-9x7f-xff]*/\\\', $content, $used_funcs); 这行代码使用正则表达式匹配数学表达式中的函数名,并将

    2024年02月12日
    浏览(54)
  • [FSCTF 2023]EZ_eval

    ​ ​ 这道题关键就是过滤了?号和空格还有eval执行时用了php的结束标志表示php代码到此为止了,那不行啊我后面的参数还等着被执行呢…… 可以用php短标签,有三种方式: ​ ? echo \\\'123\\\';? #前提是开启配置参数short_open_tags=on ​​ ​ script language=\\\"php\\\"echo \\\'hello\\\'; #不需要修改参数

    2024年02月08日
    浏览(35)
  • FPGA面试笔记ea-ez

    FIFO Generator核有两种读模式:Standard FIFO(标准模式)、First Word Fall Through(FWFT模式) FWFT模式类似于QuartusⅡ软件中FIFO的超前输出模式,没有读延时。 注:如果选择标准模式,勾选Output Registers,会增加一个读延时;但是选择FWFT模式,勾选Output Registers,仍然没有读延时; 风扇

    2024年02月21日
    浏览(41)
  • ez_pz_hackover_2016

    32位,保护全关 这里不存在漏洞点 漏洞点在这里,通过上面输入的数据传进这里并执行栈 思路 我们需要计算不同函数栈的距离 需要绕过strcmp和memchr, x00 均可绕过,答案就呼之欲出了, 调好偏移,使返回地址指向shellcode就可以getshell了 参考

    2024年02月08日
    浏览(30)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包