攻防世界-WEB-filemanager

已于 2024-06-28 11:10:00 修改
阅读量1k 收藏 11
点赞数 19
分类专栏: CTF 文章标签: 前端 php 网络安全 web安全 安全 数据库
于 2024-06-01 16:50:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52061428/article/details/139375677
版权

前言

人道是,

我心错付情深处,以为两情皆如初。
奈何春风扶柳意,独我梦中空自舞。

许久未见诸位,这段时间由于学业与其他事情,便没再继续写下去(其实很大一部分归咎于自己的懒惰//DOGE)

这次带来一道开胃小菜,希望能够帮到各位师傅们,也希望得到大家的指点

正文

主页面

信息收集

www.tar.gz的内容

因锤死听

代码审计

upload.php

<?php
/**
 * Created by PhpStorm.
 * User: phithon
 * Date: 15/10/14
 * Time: 下午8:45
 */

require_once "common.inc.php";//确保共享函数或者数据库连接等配置被加载

if ($_FILES) { //使用数组检查是否文件上传
	$file = $_FILES["upfile"];
	if ($file["error"] == UPLOAD_ERR_OK) {//错误检查
		$name = basename($file["name"]);
		$path_parts = pathinfo($name);

		if (!in_array($path_parts["extension"], array("gif", "jpg", "png", "zip", "txt"))) {//上传限制
			exit("error extension");
		}
        //这一段用于重新构造文件名
		$path_parts["extension"] = "." . $path_parts["extension"];

		$name = $path_parts["filename"] . $path_parts["extension"];

		// $path_parts["filename"] = $db->quote($path_parts["filename"]);
		// Fix
        //这里使用了addslashes以转义字符,目的是减少SQL注入风险,不过个人认为没啥卵用
		$path_parts['filename'] = addslashes($path_parts['filename']);

        //这一段用于查询是否存在同名的文件
		$sql = "select * from `file` where `filename`='{$path_parts['filename']}' and `extension`='{$path_parts['extension']}'";

		$fetch = $db->query($sql);

		if ($fetch->num_rows > 0) {
			exit("file is exists");//这个就不用解释了
		}

        //将临时上传的文件从临时目录中移动到指定目录中
		if (move_uploaded_file($file["tmp_name"], UPLOAD_DIR . $name)) {

          
			$sql = "insert into `file` ( `filename`, `view`, `extension`) values( '{$path_parts['filename']}', 0, '{$path_parts['extension']}')";
			$re = $db->query($sql);
			if (!$re) {
				print_r($db->error);
				exit;
			}
			$url = "/" . UPLOAD_DIR . $name;
			echo "Your file is upload, url:
                <a href=\"{$url}\" target='_blank'>{$url}</a><br/>
                <a href=\"/\">go back</a>";//上传成功后生成url供用户访问上传后的文件
		} else {
			exit("upload error");
		}

	} else {
		print_r(error_get_last());
		exit;
	}
}

rename.php

<?php
/**
 * Created by PhpStorm.
 * User: phithon
 * Date: 15/10/14
 * Time: 下午9:39
 */

require_once "common.inc.php";

/*
讲一讲这里重命名的逻辑:
1.查询输入的oldname是否存在于filename字段中
2.如果存在则update,不存在则error
*/
if (isset($req['oldname']) && isset($req['newname'])) {
    $result = $db->query("select * from `file` where `filename`='{$req['oldname']}'");
    if ($result->num_rows > 0) {
       $result = $result->fetch_assoc();
    } else {
       exit("old file doesn't exists!");
    }

    if ($result) {
        
       $req['newname'] = basename($req['newname']);//使用basename()确保newname不包含路径信息,保留文件名部分
       $re = $db->query("update `file` set `filename`='{$req['newname']}', `oldname`='{$result['filename']}' where `fid`={$result['fid']}");//数据库更新操作,失败返回error
       if (!$re) {
          print_r($db->error);
          exit;
       }
        //构造旧文件路径和新文件路径
       $oldname = UPLOAD_DIR . $result["filename"] . $result["extension"];
       $newname = UPLOAD_DIR . $req["newname"] . $result["extension"];
       if (file_exists($oldname)) {
          rename($oldname, $newname);
       }
       $url = "/" . $newname;
       echo "Your file is rename, url:
                <a href=\"{$url}\" target='_blank'>{$url}</a><br/>
                <a href=\"/\">go back</a>";
        //这里和上一个php一样
    }
}
?>
<!DOCTYPE html>
<html>
<head>
    <title>file manage</title>
    <base href="/">
    <meta charset="utf-8" />
</head>
<h3>Rename</h3>
<body>
<form method="post">
    <p>
        <span>old filename(exclude extension):</span>
        <input type="text" name="oldname">
    </p>
    <p>
        <span>new filename(exclude extension):</span>
        <input type="text" name="newname">
    </p>
    <p>
        <input type="submit" value="rename">
    </p>
</form>
</body>
</html>

delete.php

<?php
/**
 * Created by PhpStorm.
 * User: phithon
 * Date: 15/10/14
 * Time: 下午9:39
 */

require_once "common.inc.php";

if(isset($req['filename'])) {
    $result = $db->query("select * from `file` where `filename`='{$req['filename']}'");//根据提供的filename查询数据库中的文件记录
    if ($result->num_rows>0){//查询结果存在获取第一条记录
        $result = $result->fetch_assoc();
    }

    $filename = UPLOAD_DIR . $result["filename"] . $result["extension"];
    if ($result && file_exists($filename)) {
        $db->query('delete from `file` where `fid`=' . $result["fid"]);
        unlink($filename);
        redirect("/");//调用redirect("/")函数重定向到首页
    }
}
?>
<!DOCTYPE html>
<html>
<head>
    <title>file manage</title>
    <base href="/">
    <meta charset="utf-8" />
</head>
<h3>Delete file</h3>
<body>
    <form method="post">
        <p>
            <span>delete filename(exclude extension):</span>
            <input type="text" name="filename">
        </p>
        <p>
            <input type="submit" value="delete">
        </p>
    </form>
</body>
</html>

common.inc.php

<?php
/**
 * Created by PhpStorm.
 * User: phithon
 * Date: 15/10/14
 * Time: 下午7:58
 */

$DATABASE = array(

    //哇哦最近hvv的看到这个老馋了
    "host" => "127.0.0.1",
    "username" => "root",
    "password" => "ayshbdfuybwayfgby",
    "dbname" => "xdctf",
);

$db = new mysqli($DATABASE['host'], $DATABASE['username'], $DATABASE['password'], $DATABASE['dbname']);
$req = array();//定义空数组用于收集参数

foreach (array($_GET, $_POST, $_COOKIE) as $global_var) {
    foreach ($global_var as $key => $value) {
       is_string($value) && $req[$key] = addslashes($value);
    }//简单来说就是放sql注入的
}

define("UPLOAD_DIR", "upload/");

//定义了一个名为redirect的函数,用于重定向到指定的URL。它发送HTTP重定向头,并退出脚本执行
function redirect($location) {
    header("Location: {$location}");
    exit;
}

xdctf.sql

#配置文件,没啥分析的
SET NAMES utf8;
SET FOREIGN_KEY_CHECKS = 0;

DROP DATABASE IF EXISTS `xdctf`;
CREATE DATABASE xdctf;
USE xdctf;

DROP TABLE IF EXISTS `file`;
CREATE TABLE `file` (
  `fid` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `filename` varchar(256) NOT NULL,
  `oldname` varchar(256) DEFAULT NULL,
  `view` int(11) DEFAULT NULL,
  `extension` varchar(32) DEFAULT NULL,
  PRIMARY KEY (`fid`)
) ENGINE=InnoDB AUTO_INCREMENT=11 DEFAULT CHARSET=utf8;

SET FOREIGN_KEY_CHECKS = 1;

还有一个完全不需要分析的index.php

<?php
/**
 * Created by PhpStorm.
 * User: phithon
 * Date: 15/10/14
 * Time: 下午7:46
 */

?>

<!DOCTYPE html>
<html>
<head>
    <title>file manage</title>
    <base href="./">
    <meta charset="utf-8" />
</head>
<body>
    <h3>Control</h3>
    <ul style="list-style: none;">
        <li><a href="./delete.php">Delete file</a></li>
        <li><a href="./rename.php">Rename file</a></li>
    </ul>

    <h3>Content</h3>
    <form action="./upload.php" method="post" enctype="multipart/form-data">
        <input type="file" name="upfile">
        <input type="submit" value="upload file">
    </form>
</body>
</html>

其实不难发现,最有可能出问题的在rename.php中,我们来看这一段

	if ($result) {

		$req['newname'] = basename($req['newname']);
		$re = $db->query("update `file` set `filename`='{$req['newname']}', `oldname`='{$result['filename']}' where `fid`={$result['fid']}");
		if (!$re) {
			print_r($db->error);
			exit;
		}

代码看着好像没问题,实则细心的师傅不难发现,它并没有对newname进行过滤,也就意味着我们可以构造恶意代码进行漏洞利用

--------------------------------------------------------

还有就是upload.php

它对传入的文件后缀进行验证,也对传入的filename做了转义

$path_parts['filename'] = addslashes($path_parts['filename']);
$sql = "select * from `file` where `filename`='{$path_parts['filename']}' and `extension`='{$path_parts['extension']}'";

但是这还不够,照样能够被利用

当我们传入这样一个值: ',extension='.jpg

由于upload.php并未对传入的文件名做任何的限制(如不能使用'\@*等等),所以能够被成功上传

其次又由于传入的',extension='.jpg中的后缀.jpg符合白名单规则,所以能够被成功上传

我们来进行实践

--------------------------------------------------------

实践

验证成功

--------------------------------------------------------

接下来需要利用rename.php

old filename得这么写,不然',extension='.jpg无法被识别

重命名成功

这样rename.php中的

update `file` set `filename`='{$req['newname']}', `oldname`='{$result['filename']}' where `fid`={$result['fid']}

就变成了

update `file` set `filename`='MQ4.jpg',`oldname`='',extension='' where `fid`={$result['fid']}"

--------------------------------------------------------

接下来上传一个MQ4.jpg的马

--------------------------------------------------------

然后回到rename.php

--------------------------------------------------------

连接我们的小马

连接成功

成功获取flag

结尾

CTF是一个经验积累的过程,多做题,你就能找到其中的奥秘于快乐.

也祝各位六一儿童节快乐!!!!

求赞求关注,感谢!!!!!!!!!!!

MQ4
关注
专栏目录
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
攻防世界 web高手进阶区 8分题 filemanager
闵行小鱼塘
10-04 1188
继续ctf的旅程,开始攻防世界web高手进阶区的8分题,本文是filemanager的writeup
【愚公系列】2023年06月 攻防世界-Webfilemanager
时光隧道
06-20 7219
如果PHP源码泄露,那么攻击者可以轻易地查看其中的代码并发现其中的漏洞和安全弱点。这可能导致攻击者能够从中获得敏感信息或者对网站进行攻击。以下是一些可以避免PHP源码泄露的建议:保护PHP源码文件:确保PHP源代码文件存储在一个安全的目录中,并且不能被通过URL访问。最好的方法是将代码文件存储在Web服务器的非公共目录中。禁止目录浏览:在Web服务器上,确保禁止目录浏览功能。这意味着攻击者不能通过URL访问网站上的任何文件和目录。防止PHP错误输出:确保禁用PHP错误输出功能。
攻防世界-filemanager
weixin_53150482的博客
09-28 1131
攻防世界-filemanager
filemanager攻防世界web进阶 ctf
wuyaowangchuan的博客
11-29 1727
进入环境 看样子是文件上传 扫描目录 /www.tar.gz可以获得源码 先来代码审计 数据结构 T NAMES utf8; SET FOREIGN_KEY_CHECKS = 0; DROP DATABASE IF EXISTS `xdctf`; CREATE DATABASE xdctf; USE xdctf; DROP TABLE IF EXISTS `file`; CREATE TABLE `file` ( `fid` int(10) unsigned NOT NULL AUTO_IN.
攻防世界--filemanager
qq_46263951的博客
01-05 1322
看到这里猜测是个文件上传漏洞,测试几次发现好像只能上传图片,rename只能更改文件名,但无法更改后缀。 随手扫了一下发现源码泄漏, 审阅rename代码 <?php /** * Created by PhpStorm. * User: phithon * Date: 15/10/14 * Time: 下午9:39 */ require_once "common.inc.php"; if (isset($req['oldname']) && isset..
攻防世界 web进阶区 filemanger
m0_51395584的博客
06-14 1039
攻防世界 filemanger 文件上传 木马后门
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界nice-bgm杂项
11-20
网络安全领域,"攻防世界"是一个广受欢迎的在线平台,提供各种安全挑战,帮助学习者提升他们的黑客防御和攻击技能。"nice-bgm杂项"是其中的一个挑战,属于"misc"类别,这意味着它可能涉及到多种不同类型的解题技巧...
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
xdctf2015前20名writeup
10-07
2015年xdctf前20名的writeup,绝对不坑
XDCTF 2015 Filemanager攻防世界web
weixin_43610673的博客
07-22 1559
这题看似文件上传,其实主要是利用sql注入修改指定文件名再数据库中的后缀名为空 /www.tar.gz 下载源码审计 数据库的字段结构为 同时代码中由于白名单限制,所以无法上传恶意文件,由于版本限制也不能用%00截断,但有一个rename功能,只能修改文件名,但可以通过sql注入,影响其extension为空,再修改文件时加上.php后缀 先上传一个用来sql注入的文件 修改文件名 新的文件名为test2.txt.txt 但数据库中经过update语句 update `file` set `file
攻防世界web Bug
Zeker62的博客
09-10 1233
目录靶场分析登录admin伪造IP总结靶场分析 这道题涉及到解密我是没有想到的 拿到手,是一个登录界面: 拿扫描器扫描,发现没有其他的文件 分析可能存在的漏洞: SQL注入漏洞 SQL二次注入漏洞 其他逻辑漏洞 经过尝试,前两个漏洞都没有,只有可能是最后一个漏洞了 登录admin 我们登录一个账户进去,点击manager,发现弹窗提示: 猜想管理员的账号是admin,回到注册界面,注册一个a...
攻防世界 WEB filemanager
qq_41696858的博客
09-27 1077
这题有源码泄露,先扫一波,dirsearch -u http://111.200.241.244:58290/ 扫出来var.www.gz,下下来分析,直接上有错误的sql注入点吧,在rename.php里面,在rename的时候并没有对文件后缀进行检验,特殊字符也没有过滤,那么这里就是注入点 if ($result) { $req['newname'] = basename($req['newname']); $re = $db->query("update `file` set `fil
攻防世界writeup——Web(持续更新)
Lethe's Blog
08-12 8273
lottery(XCTF 4th-QCTF-2018) 打开题目先注册,然后发现flag可以购买。但得先去买彩票赢得足够的钱,七位数字的彩票,猜中的位数越多,赢得的钱越多,因此应该在买彩票这里出了一些漏洞。 1、首先访问目录robots.txt,存在.git泄露。 2、利用工具GitHack,得到网站源码: 3、进行代码审计,问题出现在api.php里的buy函数,这个函数就是用来判断是否猜...
攻防世界bug
xiaoqi199915的博客
06-02 1881
尝试弱口令和万能密码 首先你应该登录 进行注册 但是自己没有注册成功 登录自己的账号密码 并未发现什么 需要管理员权限进行登录 进行忘记密码进行秘密 burp 进行抓包 账号名改成admin 密码是自己注册的密码进行发包 登陆成功 admin权限 点manage发现出现IP IP问题 进行X-Forwarded-For :127.0.0.1 进行审查源码 发现index.php?module=filemanage&do=??? 那么do后面能是什么呢 猜测upload 写一个php代码 改为.
XCTF攻防世界web进阶练习_ 5_bug
silence1_的博客
09-22 1411
XCTF攻防世界web进阶练习—bug 题目 题目名字是bug 进入题目是一个登录界面 这里提供了注册和找回密码的功能,简单测试了一下sql注入,无果。 联想到题目名字是bug,应该和网站逻辑问题有关。 注册一个账号,这里我注册为admins password 注册好之后当然是登录啦,登录进去之后有几个功能。其中值的注意的是manage和change pwd 发现manage要管理员权限,...
攻防世界Web赛题记录
Bit0
10-13 2681
Cat 题目:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4658&page=2 Writeup: 攻防世界-web-Cat(XCTF 4th-WHCTF-2017)_Sea_Sand息禅-CSDN博客 攻防世界 | CAT - laolao - 博客园 [CTF题目总结-web篇]攻防世界:Cat_T2hunz1-CSDN博客 知识点: 1.输入字符 get传递在网址
攻防世界WEB 高手进阶区writeup (一)
weixin_44120313的博客
11-15 761
web 15. hide and seek 右键查看源代码 16. guestbook 爆数据库 --dbs 爆表 --tables 爆字段名 --columns 爆数据。–dump LFI 查看网址,可能存在文件包含漏洞 查看源码 读取pages/flag.php文件 读取pages/config.php文件 ...
攻防世界-baby_web详解
最新发布
12-21
根据提供的引用内容,攻防世界-baby_web是一个需要进行攻击和防御的网络应用。根据引用和引用[2]的描述,可以看出该应用存在注入漏洞,并且使用了一些安全措施来防止攻击者利用这些漏洞。攻击者可以通过注入恶意代码来获取敏感信息或者执行未经授权的操作。 为了详细了解攻防世界-baby_web的攻击和防御方法,我们可以进行以下步骤: 1. 分析源代码:通过查看源代码,我们可以了解应用程序的结构和逻辑,以及可能存在的漏洞点。 2. 注入攻击:尝试使用注入攻击来获取数据库信息或者执行其他恶意操作。可以使用工具如sqlmap来自动化进行注入测试。 3. 防御措施:了解并实施防御措施,如输入验证、参数化查询、安全编码等,以防止注入攻击和其他常见的安全漏洞。 请注意,进行任何形式的攻击都是非法的,除非您是经过授权的安全专家或者在合法的渗透测试环境中进行。在现实世界中,攻击和防御是一个持续的过程,需要不断学习和更新知识。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值