CTF实战Hex Fiend魔改PNG文件头突破双重检测机制在CTF竞赛中文件上传漏洞一直是Web安全赛道的经典题型。这道来自HarekazeCTF2019的Avatar Uploader 1题目巧妙地将finfo_file()和getimagesize()两种检测机制组合在一起为参赛者设置了双重关卡。本文将带你深入十六进制层面用Hex Fiend这把手术刀精准改造PNG文件结构同时突破这两道防线。1. 环境搭建与初步侦察首先访问题目环境系统会提示登录。测试发现任意用户名如test即可进入上传界面关键限制条件如下文件大小 ≤ 256KB图片尺寸 ≤ 256×256像素仅接受PNG格式上传合规PNG后仅返回头像更新成功此时需要分析服务器端验证逻辑。题目虽未直接提供源码但通过报错信息可逆向推导出关键检查点// 文件类型检测 $finfo finfo_open(FILEINFO_MIME_TYPE); $type finfo_file($finfo, $_FILES[file][tmp_name]); if (!in_array($type, [image/png])) { error(Not PNG); } // 图像尺寸检测 $size getimagesize($_FILES[file][tmp_name]); if ($size[0] 256 || $size[1] 256) { error(Image too large); } // 隐藏的彩蛋检测 if ($size[2] ! IMAGETYPE_PNG) { error(Flag: .getenv(FLAG1)); }2. 检测机制深度剖析2.1 finfo_file()的工作原理finfo_file()通过魔数(magic number)识别文件类型。对于PNG文件其固定头部结构为偏移量值十六进制ASCII表示0-789 50 4E 47 0D 0A 1A 0A.PNG....提示前8个字节是PNG的签名区任何PNG文件都必须以这组魔数开头2.2 getimagesize()的检测逻辑该函数返回包含多个维度的数组Array ( [0] 宽度(px) [1] 高度(px) [2] 图像类型常量 [3] HTML格式的宽高字符串 [bits] 位深度 [mime] MIME类型 )其中[2]对应IMAGETYPE常量3表示PNG类型。题目中的彩蛋触发条件正是$size[2] ! IMAGETYPE_PNG。3. Hex Fiend实战操作我们需要构造一个能同时满足finfo_file()识别为PNGgetimagesize()认为不是PNG 的特殊文件。3.1 准备原始PNG文件用画图工具创建200×200像素的PNG图片通过命令行验证文件属性file sample.png # 应显示PNG image identify sample.png # 查看尺寸信息3.2 使用Hex Fiend进行二进制编辑打开Hex Fiend拖入sample.png定位到文件头签名区前8字节应显示89 50 4E 47 0D 0A 1A 0A保留签名区删除后续所有数据块IHDR、IDAT等手动添加以下异常结构00000000: 89 50 4E 47 0D 0A 1A 0A # PNG签名 00000008: 00 00 00 01 49 48 44 52 # 伪造的IHDR长度 00000010: 00 00 00 00 00 00 00 00 # 零宽高 00000018: 08 06 00 00 00 # 位深和压缩方式注意这种结构会通过文件头检查但会破坏正常的PNG解析4. 漏洞利用与防御4.1 上传构造的特殊文件将修改后的文件上传服务器端将发生finfo_file()读取有效签名返回image/pnggetimagesize()解析异常结构IMAGETYPE_PNG校验失败触发彩蛋条件返回flag4.2 安全防护建议对于开发者应该组合使用多种检测方式文件签名验证实际图像内容解析文件扩展名白名单实施二次渲染$img imagecreatefrompng($uploadedFile); imagepng($img, $sanitizedFile);设置严格的权限隔离location ^~ /uploads/ { deny all; php_flag engine off; }5. 扩展思考与变种这种技术在实际渗透测试中也有广泛应用场景绕过CDN的图片安全检查制作Webshell图片马突破云存储的内容审查一个进阶技巧是在保留有效PNG结构的同时通过篡改CRC校验值来触发解析异常# Python示例修改IHDR块的CRC with open(test.png, rb) as f: f.seek(29) # IHDR CRC位置 f.write(b\xFF\xFF\xFF\xFF) # 写入错误CRC这种方法的优势在于能保持文件表面合规性只在深层解析时才会暴露问题。
CTF实战:手把手教你用Hex Fiend绕过PNG上传检测,拿下HarekazeCTF2019的Flag
发布时间:2026/5/19 8:42:18
CTF实战Hex Fiend魔改PNG文件头突破双重检测机制在CTF竞赛中文件上传漏洞一直是Web安全赛道的经典题型。这道来自HarekazeCTF2019的Avatar Uploader 1题目巧妙地将finfo_file()和getimagesize()两种检测机制组合在一起为参赛者设置了双重关卡。本文将带你深入十六进制层面用Hex Fiend这把手术刀精准改造PNG文件结构同时突破这两道防线。1. 环境搭建与初步侦察首先访问题目环境系统会提示登录。测试发现任意用户名如test即可进入上传界面关键限制条件如下文件大小 ≤ 256KB图片尺寸 ≤ 256×256像素仅接受PNG格式上传合规PNG后仅返回头像更新成功此时需要分析服务器端验证逻辑。题目虽未直接提供源码但通过报错信息可逆向推导出关键检查点// 文件类型检测 $finfo finfo_open(FILEINFO_MIME_TYPE); $type finfo_file($finfo, $_FILES[file][tmp_name]); if (!in_array($type, [image/png])) { error(Not PNG); } // 图像尺寸检测 $size getimagesize($_FILES[file][tmp_name]); if ($size[0] 256 || $size[1] 256) { error(Image too large); } // 隐藏的彩蛋检测 if ($size[2] ! IMAGETYPE_PNG) { error(Flag: .getenv(FLAG1)); }2. 检测机制深度剖析2.1 finfo_file()的工作原理finfo_file()通过魔数(magic number)识别文件类型。对于PNG文件其固定头部结构为偏移量值十六进制ASCII表示0-789 50 4E 47 0D 0A 1A 0A.PNG....提示前8个字节是PNG的签名区任何PNG文件都必须以这组魔数开头2.2 getimagesize()的检测逻辑该函数返回包含多个维度的数组Array ( [0] 宽度(px) [1] 高度(px) [2] 图像类型常量 [3] HTML格式的宽高字符串 [bits] 位深度 [mime] MIME类型 )其中[2]对应IMAGETYPE常量3表示PNG类型。题目中的彩蛋触发条件正是$size[2] ! IMAGETYPE_PNG。3. Hex Fiend实战操作我们需要构造一个能同时满足finfo_file()识别为PNGgetimagesize()认为不是PNG 的特殊文件。3.1 准备原始PNG文件用画图工具创建200×200像素的PNG图片通过命令行验证文件属性file sample.png # 应显示PNG image identify sample.png # 查看尺寸信息3.2 使用Hex Fiend进行二进制编辑打开Hex Fiend拖入sample.png定位到文件头签名区前8字节应显示89 50 4E 47 0D 0A 1A 0A保留签名区删除后续所有数据块IHDR、IDAT等手动添加以下异常结构00000000: 89 50 4E 47 0D 0A 1A 0A # PNG签名 00000008: 00 00 00 01 49 48 44 52 # 伪造的IHDR长度 00000010: 00 00 00 00 00 00 00 00 # 零宽高 00000018: 08 06 00 00 00 # 位深和压缩方式注意这种结构会通过文件头检查但会破坏正常的PNG解析4. 漏洞利用与防御4.1 上传构造的特殊文件将修改后的文件上传服务器端将发生finfo_file()读取有效签名返回image/pnggetimagesize()解析异常结构IMAGETYPE_PNG校验失败触发彩蛋条件返回flag4.2 安全防护建议对于开发者应该组合使用多种检测方式文件签名验证实际图像内容解析文件扩展名白名单实施二次渲染$img imagecreatefrompng($uploadedFile); imagepng($img, $sanitizedFile);设置严格的权限隔离location ^~ /uploads/ { deny all; php_flag engine off; }5. 扩展思考与变种这种技术在实际渗透测试中也有广泛应用场景绕过CDN的图片安全检查制作Webshell图片马突破云存储的内容审查一个进阶技巧是在保留有效PNG结构的同时通过篡改CRC校验值来触发解析异常# Python示例修改IHDR块的CRC with open(test.png, rb) as f: f.seek(29) # IHDR CRC位置 f.write(b\xFF\xFF\xFF\xFF) # 写入错误CRC这种方法的优势在于能保持文件表面合规性只在深层解析时才会暴露问题。
相关文章
Linuxsysctl参数基线稳定性治理方法
Linuxsysctl参数基线稳定性治理方法这是一篇面向中级 Linux 使用者的技术文章,主题聚焦在sysctl参数基线,重点讨论内核运行参数、基线对比和调优回滚。在真实生产环境中,sysctl参数基线相关问题往往不会以单一错误形式出现,而是混…
从零构建自定义操作系统镜像:Packer与Ansible自动化实践指南
1. 项目概述:从“能用”到“好用”的系统构建哲学“操作系统自定义和部署构建”,这听起来像是一个庞大而复杂的工程,似乎只属于大型企业或专业发行版维护者的领域。但事实上,任何一个对现有操作系统感到“别扭”的开发者、运维工程…
用Python实现编译器前端:从Kaleidoscope到LLVM IR的实践指南
1. 项目概述:从“玩具”到“宝藏”的编译器学习之旅如果你对编译原理这门计算机科学的“硬核”课程感到既敬畏又头疼,觉得那些词法分析、语法树、中间代码优化等概念如同天书,那么你很可能已经尝试过一些经典的“龙书”配套项目,比…
告别跑飞!S32K3xx Standby模式唤醒后程序复位?手把手教你用WKPU和RTC保留关键数据
S32K3xx低功耗实战:WKPU与RTC协同解决Standby模式数据丢失难题 引言 在嵌入式系统设计中,低功耗优化一直是工程师们面临的永恒挑战。S32K3xx系列微控制器凭借其出色的电源管理能力,成为汽车电子、工业控制等领域的热门选择。然而,…
终极指南:如何在macOS上轻松安装KLayout版图设计软件
终极指南:如何在macOS上轻松安装KLayout版图设计软件 【免费下载链接】klayout KLayout Main Sources 项目地址: https://gitcode.com/gh_mirrors/kl/klayout 想要在macOS上安装专业级的集成电路版图设计工具KLayout吗?😊 作为一款功能…
5种颠覆性方法:让抖音内容获取效率提升300%的终极指南
5种颠覆性方法:让抖音内容获取效率提升300%的终极指南 【免费下载链接】douyin-downloader A practical Douyin downloader for both single-item and profile batch downloads, with progress display, retries, SQLite deduplication, and browser fallback suppo…
dropin-minimal-css项目架构深度解析:目录结构与核心组件
dropin-minimal-css项目架构深度解析:目录结构与核心组件 【免费下载链接】dropin-minimal-css Drop-in switcher for previewing minimal CSS frameworks 项目地址: https://gitcode.com/gh_mirrors/dr/dropin-minimal-css dropin-minimal-css是一个用于预览…
5步掌握碧蓝航线Live2D资源提取完整教程
5步掌握碧蓝航线Live2D资源提取完整教程 【免费下载链接】AzurLaneLive2DExtract OBSOLETE - see readme / 碧蓝航线Live2D提取 项目地址: https://gitcode.com/gh_mirrors/az/AzurLaneLive2DExtract 你是否曾经被碧蓝航线中精美的Live2D角色动画所吸引,却苦…
Python8/Python完整学习指南:10个核心模块助你从零到精通
Python8/Python完整学习指南:10个核心模块助你从零到精通 【免费下载链接】Python Python code for YouTube videos. 项目地址: https://gitcode.com/gh_mirrors/python8/Python Python8/Python项目是面向初学者的完整学习资源,包含丰富的代码示例…
5分钟快速上手:biliTickerBuy开源工具助你轻松抢购B站会员购热门票务
5分钟快速上手:biliTickerBuy开源工具助你轻松抢购B站会员购热门票务 【免费下载链接】biliTickerBuy b站会员购购票辅助工具 项目地址: https://gitcode.com/GitHub_Trending/bi/biliTickerBuy biliTickerBuy是一款专为B站会员购平台设计的开源辅助工具&…
一口气讲清楚 Monorepo、Turborepo、pnpm、Changesets 到底是什么?
你肯定遇到过这种情况:项目里同时有前端、后端、公共组件,放在一个仓库嫌乱,拆成多个仓库又改一个公共函数要在五个项目里各改一遍。于是出现了 Monorepo、Turborepo、pnpm、Changesets 这四个词。它们不是互相替代,而是分别解决工…
从ok-skills项目解析技能树:设计理念、技术实现与工程实践
1. 项目概述与核心价值最近在GitHub上看到一个挺有意思的项目,叫“ok-skills”。光看这个名字,可能有点摸不着头脑,但点进去一看,发现这是一个关于“技能树”或“知识图谱”的开源项目。简单来说,它试图用一种结构化的…
【实用小程序】超轻量级文件上传下载中心 (File Download Server)
站内源码及jar包下载 一、项目概述 文件下载中心一个基于 Java 内置 HTTP 服务器(com.sun.net.httpserver)构建的轻量级文件管理服务。它零第三方依赖,单 JAR 包即可运行,适合在内网环境或临时场景中快速搭建文件共享站点。 你的团队需要临时共享一批日志文件或交付物,…
py每日spider案例之某website之xin东方选课搜索接口(难度一般 扣取代码即可)
加密位置: 逆向接口参数: 逆向接口: const g = globalThis; g.window = g; g.self = g; g.location = {<
终极轻量级Android文本编辑器Markor:多格式笔记应用完全指南
终极轻量级Android文本编辑器Markor:多格式笔记应用完全指南 【免费下载链接】markor Text editor - Notes & ToDo (for Android) - Markdown, todo.txt, plaintext, math, .. 项目地址: https://gitcode.com/gh_mirrors/ma/markor 在移动设备上寻找一款…
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案 【免费下载链接】MPC-BE MPC-BE – универсальный проигрыватель аудио и видеофайлов для операционной системы Windows. 项目地址:…
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南 【免费下载链接】STL-Volume-Model-Calculator STL Volume Model Calculator Python 项目地址: https://gitcode.com/gh_mirrors/st/STL-Volume-Model-Calculator 你是否曾经为3D打印项目…
通过Taotoken CLI工具一键配置团队开发环境与模型密钥
通过Taotoken CLI工具一键配置团队开发环境与模型密钥 1. CLI工具安装与基本使用 Taotoken提供的CLI工具可通过npm全局安装或直接使用npx运行。对于需要频繁使用CLI的团队,推荐全局安装: npm install -g taotoken/taotoken对于临时使用或项目级配置&a…