本文详细分析了GXYCTF2019挑战`BabyUpload`的安全问题。题目限制了图片大小和content-type,不允许上传php文件,但存在通过.htaccess文件替换将非php后缀解析为php的漏洞。尽管php声明和部分函数被过滤,但通过修改php声明和使用文件读取及输出函数,仍能实现命令执行,从而绕过安全防护获取flag。
1.本题知识:
- 图片尺寸小于2000字节,但对文件头没有检验。
- 检验content-type且只能为jp(e)g,png与gif都不行。
- .htaccess配置文件替换。
- 过滤了一些敏感函数,以及php声明绕过,ph后缀过滤后好像没办法绕过去上传php文件。
2.别人的wp很详尽,我就对被拦截的情况来阐述吧:
- 后缀名不能有ph:我们后缀只能为jpg上传,但没有文件包含函数可以利用,图片马上传上去没用。因此就可以尝试.htaccess文件替换来将任意后缀解析为php。
AddType application/x-httpd-php .hhl //后缀随便改,但必须与之后上传的文件名对应。
- 诶,别蒙我啊,这标志明显还是php啊:将php声明改为,因为刻印看见bp返回头包中php版本,此时对这个声明也有效。
<script language="php
最低0.47元/天 解锁文章
扫一扫
532
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
