CTFHub技能树web———文件上传相关题目wp

CTFHub是一个不错的学习平台，这个平台也是前几天舍友推荐的，虽然里面的题目不复杂，但是模块清晰，很适合刚刚学习相关方面知识的伙伴。(大牛们就温故知新一下吧）

1

这几天题目也大概刷的差不多了，稍微整理一下吧。我挑了一个文件上传的模块，之前的几个模块像密码口令、sql注入中的题目都很常见，选择文件上传，是因为毕竟跟webshell联系比较紧密，在平时的一些实战中，上传的接口也一直是重中之重。博主还是想强调一下，我不是一个对ctf比较挚爱的小白哈哈哈，只是我觉得这个平台不错，题目思路对大家至少对我很有帮助和借鉴的意义，所以想分享给大家，如果有一些实战我还是特别愿意分享那些给大家看的，毕竟大家肯定都跟我一样喜欢真实、刺激的感受。

solving过程：

2

Q1：无验证：

Q1-1

上传一个一句话上去：

Q1-2

蚁剑连一下：

Q1-3

Q2：js前端验证

Q2-1

既然是前端验证，看一下源码吧。

Q2-2

嗯这三个类型的文件是可以上传的：

Q2-3

bp抓包改.php后缀为.jpg，放包，蚁剑连接：

Q2-4

Q3：.htaccess

Q3-1

这个我之间没接触过，google了一下，原来也算是个解析漏洞吧：（下面为引用）

htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。通过htaccess文件，可以帮我们实现：网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。

简单来说，就是我上传了一个.htaccess文件到服务器，那么服务器之后就会将特定格式的文件以php格式解析。

下面是这个.htaccess文件的内容（这里后面加的是 .jpg，也就说明将.jpg的文件当php解析）

Q3-2

这里不需要抓包改后缀，只需要先上传.htaccess文件，再上传.jgp格式的一句话就OK了。

注意：文件全名为.htaccess，不要手贱改成xx.htaccess，因为.htaccess是配置文件，不是你随便命名的。

上传之后连一下。

Q3-3

Q4：MIME绕过：

Q4-1

相信有很多人跟我一样，一开始是不知道MIME是什么东西，一下为解释：（引用）

MIME:客户端软件，区分不同种类的数据，例如web浏览器就是通过MIME类型来判断文件是GIF图片，还是可打印的PostScript文件。web服务器使用MIME来说明发送数据的种类， web客户端使用MIME来说明希望接收到的数据种类。

也就是服务端MIME类型检测是通过检查http包的Content-Type字段中的值来判断上传文件是否合法的。那就好办了，不管我上传什么类型的文件，我只要修改Content-Type字段来让检测通过就行了。

Q4-2

上传，连蚁剑。

Q4-3

Q5 00截断：

这是老朋友了，我觉得这篇博客关于00截断的总结挺不错的：http://www.admintony.com/%E5%85%B3%E4%BA%8E%E4%B8%8A%E4%BC%A0%E4%B8%AD%E7%9A%8400%E6%88%AA%E6%96%AD%E5%88%86%E6%9E%90.html

我一开始接触00截断，只是单纯的认为在文件名处进行截断，如xx.php%00.jpg，这样其实是不对的，提取的时候碰到%00就会认为字符串提取结束了，后面的.jpg就不会再提取，那样的效果还是等于上传了.php的文件，无法绕过。正确的做法还是数据包中必须有上传文件的path才行。结合上传路径+文件名，进行截断。

Q5-1

如上面的数据包，提供了road=，即上传路径。截断放包：

Q5-2

蚁剑连接：

Q5-3

Q6 双写绕过：

Q6-1

还以为什么多牛逼的东西..就是花式改后缀呗。

先看看源码：

Q6-2

有的时候看这些黑名单也是给自己以后修改后缀绕过提供一点建议哈哈哈哈，我一直认为黑名单验证机制永远是不安全的，而白名单相比较之下会好很多。

既然是提示了是双写绕过，那就用双写把：

抓包改下后缀。

Q6-3

蚁剑连接：

Q6-4

Q7：文件头检测

Q7-1

看了下源码，没有东西。

先上传一个正常jpg文件把：

Q7-2

文件错误？一时刻没反应过来。

再试试直接上传一个php：

Q7-3

意料之中，类型不正确，上面不是做过MIME验证么，学了就用改改Content-Type字段试试：

Q7-4

放包：

Q7-5

哈？又是文件错误。

绕过了后缀，但是还是绕不开检测，那应该就是对文件内容检测了。

既然这样有两种思路：第一个是先生成一个png图片，然后将一句话插进去；第二种思路抓包，然后在一句话前插入png格式头。

第一种的话给大家推荐一个自动生成图片一句话的工具吧：edjpgcom，操作方便，以后碰到一些解析漏洞的时候也能用得上。（后面会附上工具的压缩包）

我这里是自己生成了一个png文件,在最后插入了一句话。

Q7-6

按照上面的步骤走一下：

Q7-7

上传成功。

访问看看吧：

Q7-8

what语法错误？？？

应该是图片内容复杂了，php检测到里面与一句话无关的内容有语法错误，服了。

那就再生成一个png把，内容不要复杂，最好就点一个黑点就Ok了。

重复上述操作：

Q7-9

OK，可以看到上传成功了。

蚁剑连一下：

Q7-10

几个文件上传的题目就整理好了，过几天准备装一下Upload-Labs，再就文件上传做一些题目进行一些总结。这几天一方面除了学校的网课、作业等等，这个月的工作业务会停一下，正好准备重拾一下docker的相关知识，为培训系统的漏洞环境镜像做一下准备把，希望自己能够坚持。