知识点:扫目录、so库逆向
打开题目后只有登录功能,可以先尝试一下扫目录
最后发现一个www.zip文件,然后访问此目录,将文件下载下来
打开php文件后内容看不懂,先用这个php文件上传试一
注册后浏览文件上传,上传后直接显示目录,然后访问这个目录
发现上传的文件可以被目标服务器解析,文件名也没有修改
说明目标服务器支持扩展加密
然后尝试一下上传一个常见的一句话,获取文件路径后访问,发现不能解析,但是它并不是不解析所有的php,
之前是可以访问Phpinfo的,把一句话改为 phpinfo();上传后依然是不能解析,要不就是之前下载的php文件有什么特殊的地方
这个地方涉及到了php加密代码中的扩展加密,需要对下载的so文件进行逆向
把文件使用IDA打开后重点检查下面几个函数,在php运行的过程中会调用这几个函数,可以快速找到它的加密算法,
它会去替换zend_complie_这样的函数,替换为自己定义的函数
然后跟进encrypt_complie_file函数,对上传的文件进行判断,是否符合它的需求,然后执行encrypt_ext_fopen这个函数
然后跟进excrypt_ext_fopen这个函数,这个函数就是核心的加密函数,如果在本地对文件进行加密, 上传到服务器后对这个文件进行解密,还原成一个正确的php格式,如果直接把明文的php上传到服务器的话,也会做md5_match、异或,然后进行zlib解密uncompress,就会出现这个代码无法被解析的情况,如果要让他被解析就需要倒着把这个代码进行操作,要进行一个compress加密,再与0xCu进行异或,之后再做一个md5值的校验等,是一个so库逆向的一个过程,
上传到服务器后首先是md5的校验,长度校验,然后进行异或,uncompress,
可以把之前的php文件解密看一下
然后创建一个加密的shell.php进行上传
把生成的shell上传试一下,进行访问响应页面正常,然后使用菜单或者蚁剑连接一下
Flag就在/目录下