[HFCTF2020]BabyUpload

最新推荐文章于 2022-09-28 16:39:36 发布
最新推荐文章于 2022-09-28 16:39:36 发布
阅读量2.7k 收藏 5
点赞数 2
分类专栏: 代码审计 CTF write up 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43756333/article/details/107121126
版权

平台:https://buuoj.cn

打开靶机给出源码

<?php
error_reporting(0);
session_save_path("/var/babyctf/");
session_start();
require_once "/flag";
highlight_file(__FILE__);
if($_SESSION['username'] ==='admin')
{
    $filename='/var/babyctf/success.txt';
    if(file_exists($filename)){
            safe_delete($filename);
            die($flag);
    }
}
else{
    $_SESSION['username'] ='guest';
}
$direction = filter_input(INPUT_POST, 'direction');
$attr = filter_input(INPUT_POST, 'attr');
$dir_path = "/var/babyctf/".$attr;
if($attr==="private"){
    $dir_path .= "/".$_SESSION['username'];
}
if($direction === "upload"){
    try{
        if(!is_uploaded_file($_FILES['up_file']['tmp_name'])){
            throw new RuntimeException('invalid upload');
        }
        $file_path = $dir_path."/".$_FILES['up_file']['name'];
        $file_path .= "_".hash_file("sha256",$_FILES['up_file']['tmp_name']);
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        @mkdir($dir_path, 0700, TRUE);
        if(move_uploaded_file($_FILES['up_file']['tmp_name'],$file_path)){
            $upload_result = "uploaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $upload_result = $e->getMessage();
    }
} elseif ($direction === "download") {
    try{
        $filename = basename(filter_input(INPUT_POST, 'filename'));
        $file_path = $dir_path."/".$filename;
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        if(!file_exists($file_path)) {
            throw new RuntimeException('file not exist');
        }
        header('Content-Type: application/force-download');
        header('Content-Length: '.filesize($file_path));
        header('Content-Disposition: attachment; filename="'.substr($filename, 0, -65).'"');
        if(readfile($file_path)){
            $download_result = "downloaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $download_result = $e->getMessage();
    }
    exit;
}
?>
分析一下

前面设置了session存储路径,启动了session并根目录下包含flag

error_reporting(0);
session_save_path("/var/babyctf/");
session_start();
require_once "/flag";

如果session的username是admin,判断/var/babyctf下是否有success.txt,如果存在,删除文件并输出$flag
否则设置username为guest

if($_SESSION['username'] ==='admin')
{
    $filename='/var/babyctf/success.txt';
    if(file_exists($filename)){
            safe_delete($filename);
            die($flag);
    }
}
else{
    $_SESSION['username'] ='guest'; 
}

设置两个post参数direction、attr,$dir_path拼接路径,若$attr为private,在$dir_path的基础上再拼接一个username

$direction = filter_input(INPUT_POST, 'direction');
$attr = filter_input(INPUT_POST, 'attr'); 
$dir_path = "/var/babyctf/".$attr;
if($attr==="private"){
    $dir_path .= "/".$_SESSION['username'];
}

如果direction设置为upload,首先判断是否正常上传,通过则在$dir_path下拼接文件名,之后再拼接一个_,同时加上文件名的sha256值,之后限制目录穿越,创建相应目录,把文件上传到目录下。

if($direction === "upload"){
    try{
        if(!is_uploaded_file($_FILES['up_file']['tmp_name'])){
            throw new RuntimeException('invalid upload');
        }
        $file_path = $dir_path."/".$_FILES['up_file']['name'];
        $file_path .= "_".hash_file("sha256",$_FILES['up_file']['tmp_name']);
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        @mkdir($dir_path, 0700, TRUE);
        if(move_uploaded_file($_FILES['up_file']['tmp_name'],$file_path)){
            $upload_result = "uploaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $upload_result = $e->getMessage();
    }
}

若direction设置为download,读取上传上来的文件名,拼接为$file_path,限制目录穿越,判断是否存在,存在则返回文件内容。

elseif ($direction === "download") {//如果direction设置为download
    try{
        $filename = basename(filter_input(INPUT_POST, 'filename'));
        $file_path = $dir_path."/".$filename;
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        if(!file_exists($file_path)) {
            throw new RuntimeException('file not exist');
        }
        header('Content-Type: application/force-download');
        header('Content-Length: '.filesize($file_path));
        header('Content-Disposition: attachment; filename="'.substr($filename, 0, -65).'"');
        if(readfile($file_path)){
            $download_result = "downloaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $download_result = $e->getMessage();
    }
    exit;
}
解题

可知要获取flag需满足:

$_SESSION[‘username’] ===‘admin’
$filename=’/var/babyctf/success.txt’

也就是说我们要伪造自己的username是admin,并创建一个success.txt文件。

伪造session

php的session默认存储文件名是sess_+PHPSESSID的值,我们先看一下session文件内容。
查看cookie中PHPSESSID
在这里插入图片描述
构造direction=download&attr=&filename=sess_5373dbeb80f6189c95463d7a6c3881a9post传入,在返回内容中读到内容
在这里插入图片描述
可以看到还有一个不可见字符,参考这位师傅的文章得知,
不同的引擎所对应的session的存储方式有

php_binary:存储方式是,键名的长度对应的ASCII字符+键名+经过serialize()函数序列化处理的值
php:存储方式是,键名+竖线+经过serialize()函数序列处理的值
php_serialize(php>5.5.4):存储方式是,经过serialize()函数序列化处理的值

因此我们可以判断这里session处理器为php_binary,那么我们可以在本地利用php_binary生成我们要伪造的session文件。

<?php
ini_set('session.serialize_handler', 'php_binary');
session_save_path("D:\\phpstudy_pro\\WWW\\testphp\\");
session_start();

$_SESSION['username'] = 'admin';

运行生成session文件
在这里插入图片描述
将文件名改为sess并计算sha256
在这里插入图片描述
这样,如果我们将sess文件上传,服务器储存该文件的文件名就应该是
sess_432b8b09e30c4a75986b719d1312b63a69f1b833ab602c9ad5f0299d1d76a5a4
用postman将文件传上去
在这里插入图片描述
构造direction=download&attr=&filename=sess_432b8b09e30c4a75986b719d1312b63a69f1b833ab602c9ad5f0299d1d76a5a4看是否上传成功
在这里插入图片描述
这样就实现了伪造

创建success.txt

现在还需要创建一个success.txt来满足判断,回到代码

if($_SESSION['username'] ==='admin')
{
    $filename='/var/babyctf/success.txt';
    if(file_exists($filename)){
            safe_delete($filename);
            die($flag);
    }
}

filename是通过file_exists来判断的,而file_exists函数在php中
在这里插入图片描述
文件名设置不了,直接创建目录也符合条件,将attr设置为success.txt创建目录,再将sess上传到该目录下即可绕过判断
在这里插入图片描述
可以看到已经上传成功
在这里插入图片描述
那么现在我们把PHPSESSID改为sess的文件sha256值让session的username为admin
在这里插入图片描述
再刷新一下即可得到flag
在这里插入图片描述

hui________
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
---已搬运----BUUCTF:[HFCTF2020]BabyUpload sess_ file_exist()可 检测 目录和文件 。 sha256加密, PHP代码审计
Zero_Adam的博客
04-08 493
目录:一、自己做:1. 本地先试一试1. direction = upload & attr != private2. direction == upload & attr ==private3.direction=download & attr = (private)已经存在的 & filename =必须是完整文件名4.direction=download & attr = (not-private)已经存在的 & filename =必须是完整文件名2.
[HFCTF2020]BabyUpload 1
最新发布
读书 买花 长大
02-01 479
[HFCTF2020]BabyUpload 1
Baby_Upload
ce666666的博客
01-16 255
前言 考点:shtml文件上传 步骤 来到上传页面 图片,.hataccess,.user.ini,图片马这些上传不了 尝试上传shtml shtml:服务器端嵌入,类似ASP的基于服务器的网页制作.支持SSI命令. SSI命令 <!-- 指令名称="指令参数"> 主要指令有include,echo,exec exec指令语法 <!--#exec cmd="文件名称"--> <!--#exec cgi="文件名称"--> 得到ffffff?llll
buuxtf [HFCTF2020]BabyUpload
qq_52671379的博客
04-09 1101
buuxtf [HFCTF2020]BabyUpload
虎符2020CTF web easylogin.pdf
04-20
虎符2020CTF web easylogin的wp,个人见解,还附上大佬的wp,免费提供给大家,我是难的又打字,所有就用PDF格式当作资源上传
2022HFCTF-线上赛官方Writeup1
08-04
HFCTF 2022线上赛中,参赛者面临了一系列挑战,涵盖了网络安全的多个领域,包括Web安全、加密、逆向工程等。这里我们将深入探讨其中涉及到的一些关键技术点。 首先,描述中提到了“RSA 公钥解密”,这涉及到非...
2022-HFCTF-江苏翔信二队-Writeup1
08-03
2022-HFCTF-江苏翔信二队-Writeup1 本文将围绕HFCTF-江苏翔信二队-Writeup1的 Writeup1,详细介绍该挑战题的知识点和解决思路。 首先,让我们来看一下题目的描述和标签。题目描述为空,标签包含“测试软件/插件 ...
CTF 湖湘杯 决赛 2021 final.zip
12-07
【CTF 湖湘杯 决赛 2021 final】 CTF(Capture The Flag)是一项网络安全领域的竞技活动,参与者通过解决一系列网络安全问题来获取得分,最终以得分高低决定胜负。湖湘杯作为一项知名的CTF比赛,旨在促进网络安全...
第13周做题记录1
08-08
第二个挑战是HFCTF 2021 Final的hatenum。在这个挑战中,源代码被直接提供,我们需要寻找SQL注入的漏洞。登录过程的SQL查询语句在用户输入的用户名和密码未经充分过滤的情况下直接插入,这为SQL注入提供了可能。虽然...
长安战“疫”--Baby_Upload
qq_46263951的博客
01-11 439
打开后是一个文件上传 上传图片发现 额....好吧,图片被拦截了 这里用的是Apache开启SSI,文件上传Getshell 什么是shtml 使用SSI(Server Side Include)的html文件扩展名,SSI(Server Side Include),通常称为“服务器端嵌入”或者叫“服务器端包含”,是一种类似于ASP的基于服务器的网页制作技术。 通过SSI的命令实现getshell 程序代码: <!– 指令名称=”指令参数”> exec 作用:将某一外部..
[GXYCTF2019]BabyUpload1
qq_64201116的博客
05-14 2894
小小的文件上传,拿下!
BUUCTF学习笔记-BabyUpLoad
Emmawas的博客
09-28 703
考点:.htaccess绕过,文件内容为 AddType application/x-httpd-php .jpg,讲jpg文件按照php文件使用
[GXYCTF2019]BabyUpload
夜幕下的灯火阑珊的博客
05-13 3335
png文件不许上传,尝试上传jpg 修改后缀名为.htaccess,文件内容为 SetHandler application/x-httpd-php 上传一句话木马 <?php eval($_POST[cmd]);?> 失败,换一种方式 <script language='php'>eval($_POST[cmd]);</script> ...
[GXYCTF2019]BabyUpload 1
shinygod的博客
02-28 321
目录
【学习笔记 41】 buu [GXYCTF2019]BabyUpload
weixin_43553654的博客
08-02 517
0x00 知识点 .htaccess文件上传绕过 0x01 知识点详解 请参考我上一篇学习笔记 0x02 解题思路 一看就知道是上传,尝试php3,phtml,普通一句话木马改后缀也不行,而且是添加了对文件的检测。 继续尝试利用.htaccess文件上传,首先上传一个.htaccess文件 <FilesMatch "flag.png"> SetHandler application/x-httpd-php </FilesMatch> 这里注意,这道题不知道为什么,我这

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hui________

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值