绪论：由于我学习时使用的ctf平台是里面环境，未便公开，是以本著述只讲演作念题想路和方法，进修平台大家自行采用，不错使用在线的ctf平台如：ctfshow、buuctf、bugkuctf等，也不错使用网上公开的靶场upload-labs学习。Web题目作念题想路第一步拿到题目后，判断题目运用的间隙方式为读取、写入、如故履行。在不成随即细目的情况下，就由从低到高，轮换挖掘，即先找文献读取、再找文献写入、再找大呼履行。这一步先细目出最终要拿到的权限，细目渗入看法。第二步判断间隙的约略类型，或者题目约略的考点，比如，有登入框，就测试sql注入更具题目网站提供的功能点和网站的组件进行判断。这么一步步细目具体的运用想路，已矣间隙运用。第三步寻找敏锐数据，拿到最终flag。什么是文献上传间隙?若是对文献上传旅途变量过滤不严，而且对用户上传的文献后缀以及文献类型收尾不严，流毒者可通过 Web 探望的目次上传任性文献，包括网站后门文献（webshell），进而汉典戒指网站办事器。是以一般需能干：在成立网站及应用枢纽过程中，需严格收尾和校验上传的文献，不容上传坏心代码的文献 收尾权衡目次的履行权限，退缩 webshell 流毒危害即是上传网站后门文献（赢得webshell）能干：ctf中的文献上传题目大多量都为黑盒测试，作念题历程往往都为一个个方法测试进行估计，是以本篇著述中的所有这个词解题想路都有可能用上。网站检测机制与防范技巧往往网站的检测机制是查验文献后缀，查验后缀分为两种情况白名单过滤：白名单过滤即是只允许上传它指定的文献后缀如：png、.jpg等，这种过滤在莫得其他间隙辅助的情况下险些不可能绕过。黑名单过滤: 顾名想义即是不允许上传它指定的文献后缀，如php，phtml，phps，php3/4/5/6/7这种能瓦解php剧本的文献后缀，这种主要看他的黑名单写的全不全，因为有好多种办法能瓦解php。枢纽字替换双写绕过旨趣：办事端对黑名单中的推行进行料理，且仅料理一次，比如说使用str_replace()函数(函数具体使用自行了解)，是以不错通过双写后缀绕过。使用brup持包，咱们平直上传一个1.php

图片男人第四色网站男人第四色网站

不错看到复返效果php被去空了，那时文献如故上传了，那么咱们尝试使用双写绕过1.pphphp

图片

看到文献上传得手，咱们用蚁剑王人集即可

图片

若是php后缀替换为txt时，咱们无法双写绕过，1.pphphp  1.ptxthpphp文献上传的00截断其实截断的旨趣也很苟简，不管0x00如故，最终被瓦解后都是一个东西:chr（0）chr()是一个函数，这个函数是用来复返参数所对应的字符的，也即是说，参数是一个ASCII码，复返的值是一个字符，类型为string。那么chr(0)就很好清楚了，对照ASCII码表不错知谈，ASCII码为0-127的数字，每个数字对应一个字符，而0对应的即是NUT字符（NULL），也即是空字符，而截断的枢纽即是这个空字符，当一个字符串中存在空字符的时刻，在被瓦解的时刻会导致空字符背面的字符被丢弃。那么就不错知谈00截断的旨趣了，在后缀中插入一个空字符（不是空格），会导致之后的部分被丢弃，而导致绕过的发生。如：在文献1.php.jpg中插入空字符变成：1.php.0x00.jpg中，瓦解后就会只剩下1.php，而空字符怎样插入的呢？往往咱们会用Burp持包后，在文献名插入一个空格，然后再HEX中找到空格对应的16进制编码“20”，把它改成00（即16进制ASCII码00，对应十进制的0），就不错插入空字符了这个间隙相比老条款相比残忍就不演示了00字符截断需要的版块php版块小于5.3.4  而最新的php版块如故达到8.1java版块小于7u40，而最新的java版块如故达到20以上iconv字符退换特地后酿成了字符截断php在文献上传场景下的文献名字符集退换时，可能出现截断问题utf-8字符集  默许的字符编码界限的是0x00-0x7ficonv退换的字符不在上头这个界限之内，低版块的php会报特地，报了特地以后，后续字符不再料理就会酿成截断问题123.php