[XDCTF 2015]filemanager

于 2021-05-23 18:37:19 发布
阅读量603 收藏 2
点赞数 2
分类专栏: # ctf做题记录 sql注入 代码审计 文章标签: php ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/117197921
版权

在这里插入图片描述www.tar.gz下载到源码。
结构
在这里插入图片描述
数据库结构
在这里插入图片描述

审计后发现有很多对数据库的操作,猜测存在注入。
文件名采取白名单对后缀名过滤,不能直接上传php文件,upload.php里面对文件名进行了addslashes转义,不存在直接注入。
在这里插入图片描述
commom.inc.php中对所有请求参数也进行了转义
在这里插入图片描述
看到rename.php

<?php
/**
 * Created by PhpStorm.
 * User: phithon
 * Date: 15/10/14
 * Time: 下午9:39
 */

require_once "common.inc.php";

if (isset($req['oldname']) && isset($req['newname'])) {
	$result = $db->query("select * from `file` where `filename`='{$req['oldname']}'");
	if ($result->num_rows > 0) {
		$result = $result->fetch_assoc();
	} else {
		exit("old file doesn't exists!");
	}

	if ($result) {

		$req['newname'] = basename($req['newname']);
		$re = $db->query("update `file` set `filename`='{$req['newname']}', `oldname`='{$result['filename']}' where `fid`={$result['fid']}");
		if (!$re) {
			print_r($db->error);
			exit;
		}
		$oldname = UPLOAD_DIR . $result["filename"] . $result["extension"];
		$newname = UPLOAD_DIR . $req["newname"] . $result["extension"];
		if (file_exists($oldname)) {
			rename($oldname, $newname);
		}
		$url = "/" . $newname;
		echo "Your file is rename, url:
                <a href=\"{$url}\" target='_blank'>{$url}</a><br/>
                <a href=\"/\">go back</a>";
	}
}
?>
<!DOCTYPE html>
<html>
<head>
    <title>file manage</title>
    <base href="/">
    <meta charset="utf-8" />
</head>
<h3>Rename</h3>
<body>
<form method="post">
    <p>
        <span>old filename(exclude extension)</span>
        <input type="text" name="oldname">
    </p>
    <p>
        <span>new filename(exclude extension)</span>
        <input type="text" name="newname">
    </p>
    <p>
        <input type="submit" value="rename">
    </p>
</form>
</body>
</html>

修改文件名界面时无法包含后缀的,也就是说我们只能修改文件名,不能修改后缀名。
所以我们要把extension置空。
直接从结果来分析
我们传入文件名',extension='.jpg
这时候,存入数据库的filename是',extension=',extension是jpg
我们在rename界面修改文件名
在这里插入图片描述
看到这里
在这里插入图片描述
前面说到在commom.inc.php会对文件名进行转义,会变成\',extension=\',
数据库存入数据是不存在转义符号的
在这里插入图片描述
在这里插入图片描述
能够查询到。
但数据库在取出数据时是不会自动添加转义符号的
其实这就是二次注入的原理,就当是复习一下。
之后看到这句
在这里插入图片描述

会变成

update `file` set `filename`='{$req['newname']}', `oldname`= '',extension='' where `fid`={$result['fid']}

这时候,extension变为空。
在这里插入图片描述
这样在这里修改时,$result['extension']值为空。$req['filename']=shell.jpg,更改后的文件在文件系统里是shell.jpg.jpg。
也就是说此时数据库里的数据和实际文件系统里的数据是不匹配的,数据库里面少了后缀名。
在这里插入图片描述
之后我们在上传一个写入木马的shell.jpg
在这里插入图片描述
这时,文件系统里面会有两个文件,我们刚上传的shell.jpg和我们之前传的被改过名字的shell.jpg.jpg。
但我们经过前面的二次注入已经在数据库插入了filename=shell.jpg extension=’'的数据,所以在rename界面修改文件名时可以通过前面的检测从而直接带后缀名修改文件名
在这里插入图片描述
在这里插入图片描述
可以看到,成功传入shell.php。
在这里插入图片描述
成功rce
在这里插入图片描述
可以看到目录里存在shell.jpg.jpg。
最后
在这里插入图片描述

fmyyy1
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
filemanager
04-01
NULL 博文链接:https://baowei1003.iteye.com/blog/1409624
BUUCTF:[XDCTF 2015]filemanager
Keepb1ue的博客
08-03 3255
靶场地址: https://buuoj.cn/challenges#[XDCTF%202015]filemanager 题目首页给出了源码: https://github.com/CTFTraining/xdctf_2015_filemanager 而在这道题中也存在源码泄露: 这道题主要还是考察代码审计和二次注入: 网站结构源码解析: 数据库结构: xdctf.sql SET NAMES utf8; SET FOREIGN_KEY_CHECKS = 0; DROP DATABASE IF EXISTS
BUUCTF:[XDCTF 2015]filemanager
末初的CSDN博客
07-26 1512
题目地址:https://buuoj.cn/challenges#[XDCTF%202015]filemanager 首先网站目录下/www.tar.gz是隐藏源码文件 xdctf.sql:数据库表结构 common.inc.php对所有传入的参数进行了addslashes()转义 upload.php上传的文件名经过: $file[‘name’] -> pathinfo() –> $path_parts["filename"] -> addslashes() -> inser
XDCTF 2015 Filemanager (攻防世界web)
weixin_43610673的博客
07-22 1408
这题看似文件上传,其实主要是利用sql注入修改指定文件名再数据库中的后缀名为空 /www.tar.gz 下载源码审计 数据库的字段结构为 同时代码中由于白名单限制,所以无法上传恶意文件,由于版本限制也不能用%00截断,但有一个rename功能,只能修改文件名,但可以通过sql注入,影响其extension为空,再修改文件时加上.php后缀 先上传一个用来sql注入的文件 修改文件名 新的文件名为test2.txt.txt 但数据库中经过update语句 update `file` set `file
xdctf2015前20名writeup
10-07
2015xdctf前20名的writeup,绝对不坑
群晖FileManager管理工具
07-24
群晖FileManager管理工具,直接远程管理的,解压即可用,使用时运行bin目录下synology-file-manager.exe即可
one commander file manager
02-11
one commander file manager
file manager apk
10-29
file manager apk.一个工具apk,该apk功能比较强大,有借鉴的地方。
Java文件操作类FileManager
01-20
读写文件是常用的操作之一,每次将相应的代码片段复制过来不仅麻烦,还会影响整体的美观。为此我单独写了一个文件操作的类,需要时先把这个类的代码粘过去,再调用方便多了。 import java.io.BufferedReader;...
file manager
05-29
file manager是一个便利的小工具:通常,我们要查看或者更改某一个文件的后缀名,或者新建一个指定后缀名的空白文件,必须进入DOS方式,并使用DOS命令来实现,这确实很麻烦。 有了这个小工具,就可以省却这么多麻烦,双击运行她,就自动注册到您的系统。 这时您的鼠标右键菜单就增加了两个菜单项: (1)FileManager… (2)新建 → 任意类型空白文件。 以后,你就可以右键点击某一个文件,随意查看并更改文件名了。并且也可以在桌面或者其他目录下用鼠标右键新建一个指定后缀名的空白文件了。
FileManager(在线文件管理)
10-23
FileManager(在线文件管理)
FileManager for android
04-01
本软件是一款功能强大的文件管理器,可以通过本软件安装手机应用程序, 支持TXT格式文件的阅读.编辑,可解压rar和zip格式的压缩包,关联绝大多数文件格式到系统默认程序,如:可直接打开图片,音频,视频等文件。在 打开TXT文件时可以手动选择编码方式,调节字体大小,编辑后默认以GBK编码方式保存。 本软件体积小,占资源小,省电。按下菜单后,可以进行新建目录,文件,复制,剪切,粘贴等操作。选中并长按某个文件可以进行重命名,删除,查看文件大小,位置等操作。 软件的不足之处是在进行解压时,若压缩包或者子文件名称中含有中文字符,解压后文件名会出现乱码现象,但不影响内容的阅读,鄙人正在解决此问题。
FileManager
Avenleft的专栏
02-08 1078
package com.sasis.webapp.action; import java.text.SimpleDateFormat; import java.util.*; import java.io.*; import java.net.URLEncoder; import javax.servlet.http.HttpServletRequest; import javax.s
FileManager 文件管理器
热门推荐
运用之妙,存乎一心
10-22 1万+
1.获得沙盒根目录 NSString *homePath = NSHomeDirectory(); 2.获取Documents目录路径 方法一: NSString *documentsPath =[NSDocumentsDirectory() stringByAppendingPathComponent:@"Documents"]; 方法二: NSArray *path = NSSearchPa...
filemanager简单应用
晓天的博客
01-16 3185
FileManager 一个好久没碰的点,正巧赶上一个第三方服务的坑: 视频文件的网络地址是直接的下载链接,无法边缓存边播,只好用其服务下载到本地之后,找到其路径进行移动以及重命名。 既然移动了位置并且进行了重命名,那么,就破坏了原本封装好的缓存机制,需要自己判断是否已经存在于本地(未下载?被清理了缓存?)等等。 思路如下: 下载前查看自己移动后的路径下是否存在该文件,若无则进行下载。 下载完成后...
群晖file manager
最新发布
08-31
群晖File Manager是一款功能强大的文件管理工具,它是Synology群晖操作系统DSM中的一个重要组件。File Manager可以让用户在群晖NAS设备上轻松管理和组织存储的文件。 首先,群晖File Manager具有直观的用户界面,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值