• buuctf CheckIn


    文件上传

    黑名单过滤

    调用了php的exif_imagetype()函数

    利用文件头GIF89a绕过即可

    过滤了文本内容<?

    <script language='php'><script>绕过即可

    修改MIME和利用特殊扩展名均失败

    正确姿势:

    利用 .user.ini

    .user.ini

    我们先在php手册上看一下对.user.ini的介绍:

    也就是说我们可以在.user.ini中设置php.iniPHP_INI_PERDIR 和 PHP_INI_USER 模式的 INI 设置,而且只要是在使用 CGI/FastCGI 模式的服务器上都可以使用.user.ini

    在p牛的文章中提到了两个有趣的设置:auto_prepend_fileauto_append_file

    我们再到手册中看了下这两个设置的定义:

    大致意思就是:我们指定一个文件(如a.jpg),那么该文件就会被包含在要执行的php文件中(如index.php),类似于在index.php中插入一句:require(./a.jpg);

    这两个设置的区别只是在于auto_prepend_file是在文件前插入;auto_append_file在文件最后插入(当文件调用的有exit()时该设置无效)

     

    看过.user.ini的分析后我们的思路应该比较清晰了,我们可以上传一个这样的.user.ini

    GIF89a
    auto_prepend_file=a.jpg

    然后再上传一个这样的图片马a.jpg:

    GIF89a
    <script language='php'>system('cat /flag');</script>

    使上传路径下的php文件包含a.jpg
    相当于调用require()函数


    访问上传路径下的php文件即可得到flag
    或者可以在a.jpg里写入一句话
    菜刀连接后自己找flag
  • 相关阅读:
    JS之显式类型转换(最全)
    Python如何以两个字符一行方式输出"Hello World"
    封装localstorage为插件挂载到vue原型上
    封装localstorage 为方法
    input radio checkbox选中的c's's
    vue-插件 引用ali.JS,
    时间相加减
    mall-vue 门店版
    account.vue 以及continuePay.vue 通过action 里面的ajax后去支付
    service/axios.js
  • 原文地址:https://www.cnblogs.com/Chr1sto/p/12173191.html
Copyright © 2020-2023  润新知