CTFHUB-技能树-Web前置技能-文件上传(前端验证—MIME绕过、00截断、00截断-双写后缀)

CTFHUB-技能树-Web前置技能-文件上传(前端验证---MIME绕过、00截断、00截断-双写后缀)

文章目录

前端验证---MIME绕过
有关MIME

web服务器使用MIME来说明发送数据的种类, web客户端使用MIME来说明希望接收到的数据种类

MIME的作用

使客户端软件,区分不同种类的数据,例如web浏览器就是通过MIME类型来判断文件是GIF图片,还是可打印的PostScript文件。

简单来说就是一种校验机制,当文件进行上传的时候对文件的Content-Type进行校验,如果是白名单中所允许的类型则能够成功上传,如果不是则无法上传。

解题时有很多种思路

方法一

直接上传木马文件,把mime类型改为前端可验证的

方法二

也就是直接传入前端可验证文件,抓包修改为PHP脚本文件

题目解析

既然是Content-Type验证,就需要进行抓包

依旧上传php一句话木马文件,并抓包

这里,修改Content-Type字段的值为image/jpeg(也可以是别类型)

放包,发现上传成功

访问一下,发现执行成功

用蚁剑进行连接,寻找flag即可

html中发现flag

MIME绕过---00截断
关于00截断

截断原理:

0x00是字符串的结束标识符,攻击者可以利用手动添加字符串标识符的方式来将后面的内容进行截断,而后面的内容又可以帮助我们绕过检测。

00截断的限制条件:

PHP<5.3.29,且GPC关闭

参考链接:http://www.admintony.com/关于上传中的00截断分析.html

00截断有限制,php版本得低于5.3,并且GPC得关闭,一般在url上。

两种方法,%00和0x00,后台读取是遇到%00就会停止。

举个例子,url中输入的是upload/post.php%00.jpg,那么后台读取到是upload/post.php,就实现了绕后目的。


参考链接:https://blog.csdn.net/m0_52432374/article/details/113850458

00截断简单来说,就是由于php解释器是由C语言编写的,所以遵循C语言解析文件时遇到ascll码0时停止解析,而%00表示ascll码中的0,所以php解释器在解析文件时遇到%00就会默认文件名已经解析结束,所以我们可以利用这一原理进行上传。

题目解析

这里直接上传php一句话木马文件,不可行,显示文件类型不匹配

查看源代码发现,设置了白名单

根据提示,我们使用00截断进行绕过。

首先使用bp抓包

我们找到文件名,在文件名后面,在POST请求后面,都加上我们的截断(让他后面的代码不在执行。),1.php%00;.jpg

放包,上传成功

虽然这次页面没有提示我们的文件存放在哪里,但是根据之前的题目。我们可以判断出我们上传的文件摆放在upload目录下面。我们直接访问/upload/1.php,发现代码执行成功

然后我们使用蚁剑进行连接一句话木马,寻找flag

MIME绕过---00截断-双写后缀
关于双写

双写后缀绕过,这里适用于前后端都对文件的扩展名做了限制。我们可以通过双写文件的扩展名,达到绕过的目的。例如:xxx.php=>xxx.pphphp.

复制代码
用于只将文件后缀名,例如"php"字符串过滤的场合; 
例如:上传时将Burpsuite截获的数据包中文件名【evil.php】改为【evil.pphphp】,那么过滤了第一个"php"字符串"后,开头的'p'和结尾的'hp'就组合又形成了【php】。
题目解析

先规矩的上传一个php文件,发现上传成功

但文件后缀名被过滤了(原先我的文件名字是1.php)

查看源代码,发现使用了黑名单机制

如果是文件名被过滤,我们就可以直接利用双写来绕过。我们回到我们的文件,将后缀进行两次写入,使用双写后缀绕过。

复制代码
两种方法:

在上传前,将后缀名改为pphphp

在上传时,用bp抓包,将filename文件名改为1.pphphp

注意,双写一定要在php里面在写一个php,不能两个php连着写,不然两个php都会被识别,两个都会被过滤掉

这里使用bp抓包的方法

将filename文件名改为1.pphphp

放包,上传成功

访问,发现代码执行

使用蚁剑连接,寻找flag


相关推荐
三翼鸟数字化技术团队10 分钟前
Vue自定义指令最佳实践教程
前端·vue.js
Jasmin Tin Wei39 分钟前
蓝桥杯 web 学海无涯(axios、ecahrts)版本二
前端·蓝桥杯
圈圈编码1 小时前
Spring Task 定时任务
java·前端·spring
转转技术团队1 小时前
代码变更暗藏危机?代码影响范围分析为你保驾护航
前端·javascript·node.js
Mintopia1 小时前
Node.js高级实战:自定义流与Pipeline的高效数据处理 ——从字母生成器到文件管道的深度解析
前端·javascript·node.js
Mintopia1 小时前
Three.js深度解析:InstancedBufferGeometry实现动态星空特效 ——高效渲染十万粒子的底层奥秘
前端·javascript·three.js
北凉温华1 小时前
强大的 Vue 标签输入组件:基于 Element Plus 的 ElTagInput 详解
前端
原生高钙1 小时前
LLM大模型对话框实践:大文件的分片上传
前端
加兵柠檬水1 小时前
代码输出题,会这些就够了。
前端
Json20113151 小时前
Gin、Echo 和 Beego三个 Go 语言 Web 框架的核心区别及各自的优缺点分析,结合其设计目标、功能特性与适用场景
前端·golang·gin·beego