[XDCTF 2015]filemanager

最新推荐文章于 2021-04-25 21:35:04 发布
最新推荐文章于 2021-04-25 21:35:04 发布
阅读量434 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SopRomeo/article/details/108299756
版权

刚开始测试文件上传
结果测试无果

抓个包也看不出啥,扫下目录
/www.tar.gz

主要说下几个代码
upload.php

<?php
/**
 * Created by PhpStorm.
 * User: phithon
 * Date: 15/10/14
 * Time: 下午8:45
 */

require_once "common.inc.php";

if ($_FILES) {
	$file = $_FILES["upfile"];
	if ($file["error"] == UPLOAD_ERR_OK) {
		$name = basename($file["name"]);
		$path_parts = pathinfo($name);

		if (!in_array($path_parts["extension"], array("gif", "jpg", "png", "zip", "txt"))) {
			exit("error extension");
		}
		$path_parts["extension"] = "." . $path_parts["extension"];

		$name = $path_parts["filename"] . $path_parts["extension"];

		// $path_parts["filename"] = $db->quote($path_parts["filename"]);
		// Fix
		$path_parts['filename'] = addslashes($path_parts['filename']);

		$sql = "select * from `file` where `filename`='{$path_parts['filename']}' and `extension`='{$path_parts['extension']}'";

		$fetch = $db->query($sql);

		if ($fetch->num_rows > 0) {
			exit("file is exists");
		}

		if (move_uploaded_file($file["tmp_name"], UPLOAD_DIR . $name)) {

			$sql = "insert into `file` ( `filename`, `view`, `extension`) values( '{$path_parts['filename']}', 0, '{$path_parts['extension']}')";
			$re = $db->query($sql);
			if (!$re) {
				print_r($db->error);
				exit;
			}
			$url = "/" . UPLOAD_DIR . $name;
			echo "Your file is upload, url:
                <a href=\"{$url}\" target='_blank'>{$url}</a><br/>
                <a href=\"/\">go back</a>";
		} else {
			exit("upload error");
		}

	} else {
		print_r(error_get_last());
		exit;
	}
}

在这里插入图片描述
设置了白名单,并且在sql查询之前进行了转义,有了转义,基本上是饶不了的
接着看到rename.php

<?php
/**
 * Created by PhpStorm.
 * User: phithon
 * Date: 15/10/14
 * Time: 下午9:39
 */

require_once "common.inc.php";

if (isset($req['oldname']) && isset($req['newname'])) {
	$result = $db->query("select * from `file` where `filename`='{$req['oldname']}'");
	if ($result->num_rows > 0) {
		$result = $result->fetch_assoc();
	} else {
		exit("old file doesn't exists!");
	}

	if ($result) {

		$req['newname'] = basename($req['newname']);
		$re = $db->query("update `file` set `filename`='{$req['newname']}', `oldname`='{$result['filename']}' where `fid`={$result['fid']}");
		if (!$re) {
			print_r($db->error);
			exit;
		}
		$oldname = UPLOAD_DIR . $result["filename"] . $result["extension"];
		$newname = UPLOAD_DIR . $req["newname"] . $result["extension"];
		if (file_exists($oldname)) {
			rename($oldname, $newname);
		}
		$url = "/" . $newname;
		echo "Your file is rename, url:
                <a href=\"{$url}\" target='_blank'>{$url}</a><br/>
                <a href=\"/\">go back</a>";
	}
}
?>
<!DOCTYPE html>
<html>
<head>
    <title>file manage</title>
    <base href="/">
    <meta charset="utf-8" />
</head>
<h3>Rename</h3>
<body>
<form method="post">
    <p>
        <span>old filename(exclude extension)</span>
        <input type="text" name="oldname">
    </p>
    <p>
        <span>new filename(exclude extension)</span>
        <input type="text" name="newname">
    </p>
    <p>
        <input type="submit" value="rename">
    </p>
</form>
</body>
</html>

在这里插入图片描述
由于 common.inc.php对传入的所有的参数都进行转义
在这里插入图片描述
但是只转义了一次
而rename.php是先查询存不存在这个文件,再用update更新
由此存在二次注入

update `file` set `filename`='{$req['newname']}', `oldname`='{$result['filename']}' where `fid`={$result['fid']}

怎么才能让webshell成功上传呢
那就是利用二次注入使得扩展名为空,同时要上传相同文件名的webshell,然后再修改成webshell的后缀就能将我们的webshell成功传入

观察他的sql语句
构造闭合
payload

',extension='.txt

上传文件名为上面名字的webshell

再进行一次修改,此时经过update,数据库中扩展名已经变为空
在这里插入图片描述

在这里插入图片描述
别看他后面有个后缀,其实这个是之前sql查询查到的后缀,

在这里插入图片描述
再上传相同名字的webshell
在这里插入图片描述

此时服务器已经有了和数据库一样的文件
再进行修改
在这里插入图片描述

在这里插入图片描述
直接getshell,查看flag即可

penson by 小乌
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xdctf2015前20名writeup
10-07
2015xdctf前20名的writeup,绝对不坑
群晖FileManager管理工具
07-24
群晖FileManager是一款强大的远程文件管理工具,专为群晖NAS(网络附加存储)用户设计,提供了便捷、高效的方式来管理和组织存储在群晖设备上的数据。该工具的主要特点是其直观的界面和丰富的功能集,使用户能够轻松...
BUUCTF:[XDCTF 2015]filemanager
Keepb1ue的博客
08-03 3331
靶场地址: https://buuoj.cn/challenges#[XDCTF%202015]filemanager 题目首页给出了源码: https://github.com/CTFTraining/xdctf_2015_filemanager 而在这道题中也存在源码泄露: 这道题主要还是考察代码审计和二次注入: 网站结构源码解析: 数据库结构: xdctf.sql SET NAMES utf8; SET FOREIGN_KEY_CHECKS = 0; DROP DATABASE IF EXISTS
BUUCTF:[XDCTF 2015]filemanager
末初的CSDN博客
07-26 1590
题目地址:https://buuoj.cn/challenges#[XDCTF%202015]filemanager 首先网站目录下/www.tar.gz是隐藏源码文件 xdctf.sql:数据库表结构 common.inc.php对所有传入的参数进行了addslashes()转义 upload.php上传的文件名经过: $file[‘name’] -> pathinfo() –> $path_parts["filename"] -> addslashes() -> inser
XDCTF 2015 Filemanager (攻防世界web)
weixin_43610673的博客
07-22 1514
这题看似文件上传,其实主要是利用sql注入修改指定文件名再数据库中的后缀名为空 /www.tar.gz 下载源码审计 数据库的字段结构为 同时代码中由于白名单限制,所以无法上传恶意文件,由于版本限制也不能用%00截断,但有一个rename功能,只能修改文件名,但可以通过sql注入,影响其extension为空,再修改文件时加上.php后缀 先上传一个用来sql注入的文件 修改文件名 新的文件名为test2.txt.txt 但数据库中经过update语句 update `file` set `file
file manager apk
10-29
file manager apk.一个工具apk,该apk功能比较强大,有借鉴的地方。
Java文件操作类FileManager
01-20
读写文件是常用的操作之一,每次将相应的代码片段复制过来不仅麻烦,还会影响整体的美观。为此我单独写了一个文件操作的类,需要时先把这个类的代码粘过去,再调用方便多了。 import java.io.BufferedReader;...
angular-filemanager-master
07-05
**Angular FileManager 深度解析** Angular FileManager 是一个基于 AngularJS 框架开发的开源、响应式的文件管理系统。这个项目由 Joni2back 创建并维护,它提供了一个直观的用户界面,允许用户轻松地浏览、上传、...
ORACLE第2天
07-28
NULL 博文链接:https://ws694617206.iteye.com/blog/773606
file manager
hanyingzhong的专栏
03-24 688
https://github.com/Studio-42/elFinder https://github.com/kalcaddle/KODExplorer
[BUUCTF]PWN——xdctf2015_pwn200
mcmuyanga的博客
11-11 1114
xdctf2015_pwn200 附件 步骤 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入,习惯性的检索程序里的字符串,没有发现什么铭感的地方,直接看main函数 vuln函数 参数buf存在溢出漏洞,由于开启了nx,没有可以直接利用的后门,这边使用ret2libc的方法 利用过程: 先用write函数泄露libc版本 payload='a'*(0x6c+4) #溢出到ret payload+=p32(wri
BUUCTF:[XDCTF 2015]filemanager —php代码审计 + 文件上传 + sql闭合语句注入数据库 + 二次注入
Zero_Adam的博客
04-25 718
0、前置知识点: 1. pathinfo()
(攻防世界)(XDCTF-2015)pwn200
PLpa的博客
07-13 2199
这一题和JarvisOJ中的level4简直不要太像了,只是改变了几个地址,改变了溢出点。 既然前面已经讲解了,这里就不再重复讲了,详细解法请看链接:https://blog.csdn.net/qq_43986365/article/details/95081996 完整exp如下: #! /usr/bin/env python from pwn import * p=remote('111.19...
XDCTF2015 PWN200
Bill
03-01 1723
XDCTF 2015 PWN200 一. 源码(自己敲出来的) #include &lt;stdio.h&gt; #include &lt;unistd.h&gt; #include &lt;string.h&gt; int vuln(){ char buf[80]; setbuf(stdin, buf); return read(0, buf, 256)...
群晖file manager
最新发布
08-31
群晖File Manager是一款功能强大的文件管理工具,它是Synology群晖操作系统DSM中的一个重要组件。File Manager可以让用户在群晖NAS设备上轻松管理和组织存储的文件。 首先,群晖File Manager具有直观的用户界面,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值