一道文件上传题checkln

最新推荐文章于 2022-04-21 16:30:41 发布
最新推荐文章于 2022-04-21 16:30:41 发布
阅读量607 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mars748/article/details/102411127
版权

这是一道文件上传题,做起来感到毫无头绪,看来提示 .user.ini 才知道怎么回事

.user.ini究竟是个什么东东

自 PHP 5.3.0 起,PHP 支持基于每个目录的 .htaccess 风格的 INI 文件。此类文件仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果使用 Apache,则用 .htaccess 文件有同样效果。
php.ini是php的核心配置文件,在 PHP 启动时被读取,那么web目录的其他ini文件也是可以被php识别
官方还说:除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的 PHP 文件所在目录开始一直上升到 web 根目录**($_SERVER[‘DOCUMENT_ROOT’] 所指定的)**。
如果被执行的 PHP 文件在 web 根目录之外,则只扫描该目录。在 .user.ini 风格的 INI 文件中只有具有 PHP_INI_PERDIRPHP_INI_USER 模式的 INI 设置可被识别。

在这里插入图片描述
这里就很清楚了,.user.ini实际上就是一个可以由用户“自定义”的php.ini,我们能够自定义的设置是模式为“PHP_INI_PERDIR 、 PHP_INI_USER”的设置。(上面表格中没有提到的PHP_INI_PERDIR也可以在.user.ini中设置)
实际上,除了PHP_INI_SYSTEM以外的模式(包括PHP_INI_ALL)都是可以通过.user.ini来设置的。
而且,和php.ini不同的是,.user.ini是一个能被动态加载的ini文件。也就是说我修改了.user.ini后,不需要重启服务器中间件,只需要等待user_ini.cache_ttl所设置的时间(默认为300秒),即可被重新加载。

.user.ini的利用

我们可以很容易地借助.user.ini文件来构造一个“后门”。
Php配置项中有两个比较有意思的项(下图第一、四个):
在这里插入图片描述
auto_append_fileauto_prepend_file,点开看看什么意思:
在这里插入图片描述
指定一个文件,自动包含在要执行的文件前,类似于在文件前调用了require()函数。而auto_append_file类似,只是在文件后面包含。 使用方法很简单,直接写在.user.ini中

关于.user.ini可以参考大佬链接讲解

知道了这些,我们来说说这道题
这个题的主要代码

<?php
// error_reporting(0);
$userdir = "uploads/" . md5($_SERVER["REMOTE_ADDR"]);
if (!file_exists($userdir)) {
    mkdir($userdir, 0777, true);
}
file_put_contents($userdir . "/index.php", "");
if (isset($_POST["upload"])) {
    $tmp_name = $_FILES["fileUpload"]["tmp_name"];
    $name = $_FILES["fileUpload"]["name"];
    if (!$tmp_name) {
        die("filesize too big!");
    }
    if (!$name) {
        die("filename cannot be empty!");
    }
    $extension = substr($name, strrpos($name, ".") + 1);
    if (preg_match("/ph|htacess/i", $extension)) {
        die("illegal suffix!");
    }
    if (mb_strpos(file_get_contents($tmp_name), "<?") !== FALSE) {
        die("&lt;? in contents!");
    }
    $image_type = exif_imagetype($tmp_name);
    if (!$image_type) {
        die("exif_imagetype:not image!");
    }
    $upload_file_path = $userdir . "/" . $name;
    move_uploaded_file($tmp_name, $upload_file_path);
    echo "Your dir " . $userdir. ' <br>';
    echo 'Your files : <br>';
    var_dump(scandir($userdir));
}

制作图片马
可以看到php后缀的文件是上传不了的,这个时候就要用图片马了(可以自己去百度怎么制作图片马)
代码还过滤了 **<?**这个字符所以得换一种一句话比如这个

<script language="php">@eval($_POST[sb])</script>

还需要让图片马文件绕过exif_imagetype()的检测,这时候就要加GIF89a
上传
在这里插入图片描述

制作.user.ini
利用上述配置项进行包含的前提是:含有.user.ini的文件夹下需要有正常的php文件。
上传测试的时候也发现了index.php文件正好就在我们上传的目录下,正好可以利用.
下面还需要让.user.ini文件绕过exif_imagetype()的检测,这时候就不能加GIF89a了,否则配置文件将无法被解析,在配置文件中#为注释,可以在文件开头添加如下内容进行绕过:

#define width 20
#define height 10
auto_prepend_file=hack.jpg

采用xbm格式X Bit Map,绕过exif_imagetype()方法的检测,上传文件来解析。

在计算机图形学中,X Window系统使用X BitMap,一种纯文本二进制图像格式,用于存储X GUI中使用的光标和图标位图。
XBM数据由一系列包含单色像素数据的静态无符号字符数组组成,当格式被普遍使用时,XBM通常出现在标题.h文件中,每个图像在标题中存储一个数组。

也就是用c代码来标识一个xbm文件,前两个#defines指定位图的高度和宽度【以像素为单位,比如以下xbm文件:

#define test_width 16
#define test_height 7

参考大佬的wp
这个函数exif_imagetype()的绕过我卡了好久

菜刀链接

在上传好木马和配置文件.user.ini后,我们就可以用菜刀连接了
在这里插入图片描述成功获取到了flag

横眉冷对
关注
[SUCTF 2019]CheckIn 1(详解)
qq_52843575的博客
12-12 6190
1.基础检测 进入页面是一个简单文件上传界面,正常上传文件,发现上传空内容的jpg文件显示(exif_imagetype:not image!),可知有内容检测,上传代码文件也发现后缀名过滤 开始抓包操作,因为后缀名验证,伪造文件属性也失效了,与此同时发现“?”被过滤了简单利用 2.解关键 这道关键在于怎样突破后缀名绕过,就得利用.user.ini文件留后门了 user.ini留后门原理 简单来说,就是利于.user.ini指定文件,在其当前目录下的文件执行时会将你指定的文件中的代码执行出
SUctf checkIn
舞动的獾
10-08 554
看了道上传的关于.user.ini的目,这里试着做一下 目地址 buuctf checkln 打开目,出现了简单的上传框 试着上传php文件 更改名称为phps,php3,php4,php5,Php,pphphp,都上传失败. 试试改为jpg 发现它对<?内容进行了检验。 我们可以构造这种形式的木马 <script language="php"> @eval($_P...
简单的文件上传步骤
qq_60905276的博客
11-25 3058
1.看php类型的后缀名可以上传吗?如果不行就试试图片类型。 2.看有没有对内容的要求,比如说禁用<?或者禁用<script> 标签,再不行试试短标签<% 3.如果是上传图片类型的文件,是要用.htaccess文件还是要改包。 4.实在不行看php版本是不是有版本漏洞,比如00截断之类的。 文件上传学习告一段落。 ...
解网鼎杯一道web(wafUpload)
洞若观火
08-23 1428
思路:burpsuite截取post数据包,上传木马,菜刀连接。 截取上传的数据包,对filename参数使用数组绕过,上传php.php,同时得到php.php路径。 附: PHP一句话木马:&lt;?php @eval($_POST['key']);?&gt; ASP一句话木马:&lt;%eval request['key']%&gt; ASPX一句话木马:&lt;%@ Page L...
[SUCTF 2019]CheckIn 1 学习笔记
weixin_45869407的博客
10-15 417
刚刚做到这道的时候以为就只是一个简答的文件上传,结果发现自己上传的图片马被拦截了,发现不能有<?符合,然后改成,但最后不知道该怎么弄,无奈自己太菜,只能看大佬writeup(做不是关键) ...
文件上传
我了解豹女就像农民伯伯了解大米
06-27 777
目:通过你所学到的知识,测试其过WAF滤规则,突破上传获取webshell,答案就在根目录下key.php文件中。 先去上传1.php文件,里面编写一句话木马:<?php eval($_POST[c]);?> 通过抓包来获取内容,发现并没有上传成功 通过后缀名绕过上传:失败 通过内容头部绕过:成功 去访问上传的路径:http://192.168.129.128:82/vulnerabilities/1.phtml 使用蚁剑webshell进行连接:http:/..
vue中watch的用法总结以及报错处理Error in callback for watcher "checkList"
weixin_34153893的博客
04-20 1万+
  首先确认 watch是一个对象,一定要当成对象来用。 对象就有键,有值。   键:就是你要监控的那个家伙,比如说$route,这个就是要监控路由的变化,或者是data中的某个变量。   值可以是函数:就是当你监控的家伙变化时,需要执行的函数,这个函数有两个形参,第一个是当前值,第二个是变化后的值。   值也可以是函数名:不过这个函数名要用单引号来包裹。   第三种情况厉害了。 值是包括...
BUUCTF__[SUCTF 2019]CheckIn_
风过江南乱的博客
05-22 1478
一、前言 最近有点烦,感觉自己什么都不会。估计是在家待的太久了,浪费了很多时间。 这学期不开学了,真烦,被网课折磨,这都快期末了。 二、看 一个文件上传目,而且给了源码,但可能没有也能做。 不过我看wp都看的很懵。 先尝试上传一张正常的图片,回显了文件目录 再尝试上传php一句话木马。提示非法后缀 <?php @eval($_POST['post']) ?> 再尝试改一下文件后缀,提示有 <? 应该是黑名单过滤。 所以尝试用 <script language="
一道疯狂bypass的
蚁景网安学院
08-29 834
SUCTF2019-easyphp
BUUCTF_web_checkln
vegetable_haker的博客
10-11 880
BUUCTF_web_checkln方法步骤 方法 利用.user.ini隐藏后门。配置项auto_prepend_file 会让php文件在执行前先包含一个指定的文件,通过这个配置项,我们就可以来隐藏自己的后门 步骤 1.新建文件.user.ini,写入 GIF89a //绕过exif_imagetype() auto_prepend_file=test.jpg...
利用文件操作函数结合PHP伪协议RCE
young9222的博客
04-04 1155
获得源码:http://ip:port/?read-source=1 <?php if(isset($_GET['read-source'])) { exit(show_source(__FILE__)); } define('DATA_DIR', dirname(__FILE__) . '/data/' . md5($_SERVER['REMOTE_ADDR']));...
CTF中文件上传目整理总结
xiaotaode2012的专栏
08-16 1万+
0X00说在前面的话 CTF中或多或少都有点文件上传目,而这个又是最好整理的,变化的方式不是很多(至少到目前为止我没有发现太多的姿势。。。。),随意就先整理这个吧。 0x01文件上传绕过的主要姿势有: A:基于前台JS的验证,这个 不要说就是firebug下修改一下JS文件就绕过了 B:基于文件后缀名的绕过,这里面的主要姿势有:利用后缀名大小写混用绕过、空格或者
2018SUCTF Getshell特殊字符shell
a3320315的博客
02-09 1827
0x01 源码 if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data, $b) !== false){ die("illegal ...
php file_get_contents 报错
xiaomantou123的专栏
03-29 6374
<br />昨天在工作中遇到这样一个问:<br />PHP Warning:  file_get_contents(http://platform.handsmart.mobi/userplatform/pay/face.php?a=getMoneyAndMsgNum&appid=1&username=3c5122d46b38451731189397098d115b&uid=bda30b0c713e44da6c8e4feb7e78a290&secret=181fa34350
2018年“骇极杯” web3 GOOD JOB writeup 两种解法
a3320315的博客
10-17 757
0x01 贴出源码 <?php //error_reporting(0); //$dir=md5("icq" . $_SERVER['REMOTE_ADDR']); $dir=md5("icq"); $sandbox = '/var/sandbox/' . $dir; @mkdir($sandbox); @chdir($sandbox); ...
CTF中文件包含漏洞总结
热门推荐
Lethe's Blog
02-13 5万+
CTF中文件包含漏洞总结 0x01 什么是文件包含漏洞 通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入。 0x02 文件包含漏洞的环境要求 allow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者网站检索数据 allow_url_include=On(php5.2之后默认为Off) 规定是否...
BUUCTF WEB [SUCTF 2019]CheckIn
A_dmin的博客
12-14 1567
BUUCTF WEB [SUCTF 2019]CheckIn 打开页面是一个上传界面: 而且目提示给了源码!GitHub上面,看了看还有flag嘞~~ 这不重要,我是来看源码的!!!index.php源码如下: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8">...
ctf 文件上传测试
qq_35191331的博客
08-12 2363
目链接:http://103.238.227.13:10085/ 根据上传了一个php文件,上传之后,提示 非图片文件,之后上传一个图片文件,提示 非php文件 所以我就尝试改上传的文件数据 需要使用的火狐浏览器中的 FoxyProxy Standard插件和 Burp1.6工具 第一步:我选择上传一个图片文件,之后在FoxyProxy Standard设置为代理服务
firewall-cmd(常用的防火墙命令详解)
weixin_48692664的博客
11-16 1万+
防火墙(计算机术语) 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。 安装服务 #安装firewalld yum
一个简单易用的文件上传方案
江南一点雨的专栏
04-21 3681
现在 OSS 服务算是一个基础服务了,很多云服务厂商都有提供这样的服务,价格也不贵,松哥自己的 www.javaboy.org 用的就是类似的服务。 不过对于中小公司来说,除了购买 OSS 服务之外,也可以自己搭建专业的文件服务器,自己搭建专门的文件服务器的话,曾经比较专业的做法是 FastDFS,松哥之前也专门为之录过视频发在 B 站上,感兴趣的小伙伴可以自行查看。不过 FastDFS 搭建比较麻烦,非常容易出错,所以对各位小伙伴来说多多少少有一点门槛。 松哥在之前的文章录制的一些项目视频中,如果涉及到文
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值