ciscn 2021 web upload

midi 2021-06-03 18:33:16 1893 0


upload
发现文件index.php、example.php

知识点1:绕过getimagesize
在这里插入图片描述
在上传的文件最后面加上

#define width 1

#define height 1

知识点2:绕过zip字符中的i
在这里插入图片描述
结合
https://bugs.php.net/bug.php?id=77375
使用İ字符可以绕过i字符的匹配,如果php这三个字符也能绕过就能直接上传php了~~,官方中发现只能针对这几个字符

array('c', 'C', 'g', 'G', 'i', 'I', 'o', 'O', 's', 'S', 'u', 'U');

array('ç', 'Ç', 'ğ', 'Ğ', 'ı', 'İ', 'ö', 'Ö', 'ş', 'Ş', 'ü', 'Ü');

结合example.php的解压压缩包 我们利用zİp来替代zip(İ会被解析为I,再通过mb_strtolower就变成了i)

知识点3:解压出php
绕过图片检测的脚本:
https://github.com/huntergregal/PNG-IDAT-Payload-Generator/

git下来 生成图片马

python generate.py -m php -o md.png


修改图片后缀为php然后解压到zip里面
上传zip,绕过getimagesize和i,如下图
在这里插入图片描述

在这里插入图片描述


再用example.php解压

在这里插入图片描述
在这里插入图片描述


接下来直接去解压的路径example下访问md.php命令执行就行
在这里插入图片描述

原文链接:https://blog.csdn.net/wanmiqi/article/details/117044715

分类:WEB
评论
crdj1234 3年前

大佬,牛逼

回复 0
image
作者:midi

2

提交

100

收入

相关WriteUP

  • 第四届强网杯-主动 writeup

    打开题目很明显是命令注入ls查看一下发现有flag.php和index.php由于过滤了flag,就是用通配符?来绕过,发现cat不行,经过测试好像只有tac可以,就用ip=127.0.01;tac????.php来获取flag

    • WEB
    • 3年前
  • [网鼎杯 2020 朱雀组]phpweb

    拿到题目访问一下,发现页面会自动刷新所以我们抓一下包很明显date是一个php的函数,而p是其中的一个参数,表示输出时间。因此我们可以执行一下eval函数很明显,被拦了。这时候我们可以考虑一下读取index.php的源码利用highlight_file函数func=highlight_file&p=index.php<!DOCTYPEhtml><html><h...

    • WEB
    • 3年前
  • 蓝帽杯半决赛WEBWrite UP

    ##杰克与肉丝考点主要是后面md5和sha比较,由于传入的object类型。而md5和sha1不能处理object类型。所以会爆出一个False.至此。判断就都过去了。然后eval执行`eval(newException('phpinfo();?>'))`这里会把一个类当作字符串带入eval。也就是说。会触发Exception类的__toString魔术方法手册链接:`https://www...

    • WEB
    • 3年前
  • 记xss跨站脚本攻击

    ***收费WriteUP请购买后查看,VIP用户可免费查看***

    • WEB
    • 3年前
  • Whois

    ***收费WriteUP请购买后查看,VIP用户可免费查看***

    • WEB
    • 1年前
问题反馈