ctf题目php文件上传如何绕过_利用Apache解析漏洞(CVE-2017-15715)绕过文件上传限制getshell...

最新推荐文章于 2021-10-17 10:08:00 发布
最新推荐文章于 2021-10-17 10:08:00 发布
阅读量1.2k 收藏
点赞数
文章标签: ctf题目php文件上传如何绕过
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39541767/article/details/112950647
版权
"本文详细介绍了Apache 2.4.0到2.4.29版本中存在的一个解析漏洞,该漏洞允许攻击者通过在文件名中使用换行符来绕过上传过滤。在中南大学院赛CTF的一道题目中,该漏洞被用于上传PHP文件,通过设置文件名为1.phpx0a成功绕过了黑名单检查。文章还提供了漏洞利用的条件和源码分析,并指出尽管此漏洞的实际利用场景有限,但理解其原理对于安全学习仍有价值。"
摘要由CSDN通过智能技术生成

这几天做中南大学的院赛web题碰到了一道上传题,正好利用到了去年发布的一个cve,虽然漏洞有点鸡肋,但是作为一种姿势了解一下还是不错的,故此记录总结一下

漏洞概述

在Apache 2.4.0到2.4.29版本中使用到了如下的配置信息:

1

2

3

SetHandler application/x-httpd-php

这是一个php文件的解析表达式,我们可以注意到$,这个解析漏洞的根本原因就是这个$。我们知道$在正则表达式中用来匹配字符串结尾位置,在菜鸟教程中对正则表达符$的解释如下:

1匹配输入字符串的结尾位置。如果设置了 RegExp 对象的 Multiline 属性,则 $ 也匹配 ‘\n’ 或 ‘\r’。要匹配 $ 字符本身,请使用 \$。

说明了$是可以匹配到字符串结尾的换行符,也就是说,如果我们此时有个文件后缀名为:.php\n,Apache是会将其作为php文件进行解析的

漏洞利用

了解了该解析漏洞,我们便可以利用它来绕过上传的黑名单限制,例如存在下面的上传逻辑:

1

2

3

4

5

6

7

8

9<?php

if(isset($_FILES['file'])) {

$name = basename($_POST['name']);

$ext = pathinfo($name,PATHINFO_EXTENSION);

if(in_array($ext, ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'])) {

exit('bad file');

}

move_uploaded_file($_FILES['file']['tmp_name'], './' . $name);

}

这里使用到了黑名单过滤方式,但是如果我们利用上述漏洞,上传一个文件名为:1.php\x0a,那么便可以成功绕过黑名单的限制上传php文件

实例演示

实例来自于中南大学的院赛ctf中的一道题,题目名字是upload something

题目页面如下:

上传文件时可以发现,不论正常上传什么文件,login.php都显示bad file

我们抓包可以发现,请求包中额外post一个参数name

这就想到了我们分析的Apache解析漏洞,如果文件名取自$_FILES['file']['name'],就会自动把换行符去掉,而文件名取自post参数name中,就能很好的利用到这个解析漏洞

下面我们上传一个包含换行符的文件,这里需要注意只能时\x0a而不是\x0d\x0a,\x0d\x0a的情况是我们直接添加一个换行符,我们利用burp的hex功能在test666.php后面添加一个\x0a

从响应包中可以看到上传成功了,但是相应页面success.html中并没有告诉我们上传文件的目录

但是我们在请求包中还可以看到一个参数dir = /upload/,所以猜测上传目录为·/upload/test666.php%0a

访问成功,最后就是上木马拿shell了

最后我们可以看一下upload.php的源码:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31<?php

if(isset($_FILES['file'])) {

$name = basename($_POST['name']);

$ext = pathinfo($name,PATHINFO_EXTENSION);

$ext = pathinfo($name,PATHINFO_EXTENSION);

if(preg_match('/php/',$ext)){

if(in_array($ext, ['php', 'php3', 'php4', 'php5', 'phtml'])) {

header("location:hacker.html");

exit('bad file');

}

if(!move_uploaded_file($_FILES['file']['tmp_name'], '../upload/'. $name)){

exit('upload failed');

}else{

header("location:success.html");

}

//move_uploaded_file($_FILES['file']['tmp_name'], './' . $name);

}else{

header("location:hacker.html");

exit('bad file');

}

}

?>

验证的逻辑就是首先利用正则匹配验证后缀名是否包含了php,第二步就是利用黑名单过滤,但是由于未过滤php%0a,并且取post参数name作为文件名,所以便可以很好的利用到apache的解析漏洞,另外我们还可以看一下apache配置文件,文件目录在/etc/apache2/conf-available/docker-php.conf:

1

2

3

SetHandler application/x-httpd-php

正如我们前面提到的配置文件内容一样,$能匹配到换行符\x0a,这就造成了该解析漏洞

总结

这个漏洞利用的条件如下:

获取文件名时不能用$_FILES['file']['name'],因为他会自动把换行去掉,这一点有点鸡肋

Apache版本为2.4.0到2.4.29

服务器必须是linux系统,因为windows环境下不支持后缀名带有换行符\x0a

总体上而言,只要取$FILES['file']['name']作为文件名,就可以无视该解析漏洞,所以该漏洞总体来说实际用处不大,但是由于根本成因在于$,在以后的其他某些漏洞可以还有利用到的地方,作为一种姿势学习一下还是蛮有趣的。

最后附上参考链接:

weixin_39541767
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF:[网鼎杯 2020 朱雀组]phpweb-------细致猜测,绕过黑名单,
Zero_Adam的博客
02-15 473
目录:缺点&&不足WP方法一、反序列化绕过方法二:命名空间绕过黑名单: 缺点&&不足 抓包不细致,这个题,我抓到了第一个包,没有看到第二个包。 没有注意到data可能是个函数,没有进一步去网上查找函数, 要时时刻刻注意warning的字样,注意报错信息 WP 抓包, 貌似,date是个函数啊。随便一改,又有报错,而且是 call_users_func。这个在做那个啥杯的时候学习过了,不错的函数 还是先复习一下call_users_func怎么用吧,,这不就找到了么。只写
ctf题目php文件上传如何绕过_从一道CTF题目PHP中的命令执行
weixin_39715538的博客
01-14 763
快睡的时候,打开B站发现有位用户留言,大意就是让我帮忙看一道题,正好当时有空,于是就打开了他发的链接,代码如下很明显是一道PHP代码审计的题目,而且只需要绕过第三行的if即可进行任意命令执行。解决思路看了代码之后觉得是道普通的题目,对于/a-zA-Z/这个正则表达式,我们可以利用PHP动态函数的特性,构造出字符串即可。对于想要的字符串,我们可以通过以下三种方式来构造:1. 异或对于PHP中的字符串...
Struts2漏洞检查工具2018版 V2.1.exe
01-12
Struts2漏洞检查工具2018版 V2.1. Struts2漏洞检查工具2018版 V2.1.2018 级以前所有序列号动都有 支持cookies 批量检测
2020-10-04
qq_45618121的博客
10-04 240
漏洞: xss csrf 点击劫持 sql注入 文件上传漏洞 ///////////////////// 漏洞利用: sqlmap beef-xss __________//////////////////__ 工具 burpsuite namp 御剑 awvs Hydra Metasploit
Struts2漏洞检查工具2018版.zip
08-18
检测struts2系统漏洞 包含s2-032、s2-037、s2-019、s2-016、s2-045、s2-046、s2-052、s2-059
Struts2漏洞检测工具2018最新版
10-10
Struts2漏洞检测工具,支持S2-057 CVE-2018-11776 、S2-048 CVE-2017-9791、S2-046 CVE-2017-5638、S2-045 CVE-2017-5638、S2-037 CVE-2016-4438、 S2-032 CVE-2016-3081 、S2-020 CVE-2014-0094 、S2-019 CVE-2013-4316等漏洞检测
php黑名单绕过,利用最新Apache解析漏洞CVE-2017-15715绕过上传黑名单
weixin_28681379的博客
03-11 218
我在代码审计知识星球里提到了Apache最新的一个解析漏洞(CVE-2017-15715):除了帖子中说到的利用方法,我们还可以利用这个漏洞绕过上传黑名单限制。目标环境比如,目标存在一个上传的逻辑:if(isset($_FILES['file'])) {$name = basename($_POST['name']);$ext = pathinfo($name,PATHINFO_EXTENSIO...
利用最新Apache解析漏洞CVE-2017-15715绕过上传黑名单
qq_50854662的博客
10-17 384
目标环境: 比如,目标存在一个上传的逻辑: <?php if(isset($_FILES['file'])) { $name = basename($_POST['name']); $ext = pathinfo($name,PATHINFO_EXTENSION); if(in_array($ext, ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'])) { exit('bad file'); } m
Struts2漏洞检查工具2018版.exe
11-26
truts2漏洞检测工具,支持S2-057 CVE-2018-11776 、S2-048 CVE-2017-9791、S2-046 CVE-2017-5638、S2-045 CVE-2017-5638、S2-037 CVE-2016-4438、 S2-032 CVE-2016-3081 、S2-020 CVE-2014-0094 、S2-019 CVE-2013-4316等漏洞检测 亲测好用,大家快来下载吧
Struts2漏洞检查工具2018版.rar
03-31
Struts2各版本漏洞扫描利用工具
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
需要测试vCenter 6.5 Linux(VCSA)/窗口等待测试vCenter 6.7 Linux(VCSA)/窗口等待测试vCenter 7.0 Linux(VCSA)/窗口等待测试细节突破为任意文件上传存在问题的接口为/ui/vropspluginui/rest/services/...
文件上传漏洞常见绕过方法
最新发布
05-26
1、前端js检测文件格式 2、上传的文件时加入了“Content-Type”验证 3、文件后缀验证 4、文件后缀黑名单 5、文件头验证 6、文件内容初级验证 7、文件上传+文件包含
Python-dsstore:用于解析.DS_Store文件并提取文件名的库
05-03
./samples/目录中包含一个CTF格式的示例文件,您可以使用python3 main.py ./samples/.DS_Store.ctf尝试解析器。 这是我的博客文章,试图详细解释其结构和格式: : 用法 $ python main.py samples/.DS_Store.ctf ...
web-渗透-文件上传漏洞专题靶场.rar
03-14
本靶场为二十一个关于文件上传漏洞的环境,从前端绕过、服务器绕过、木马图上传绕过、截断绕过、竞争条件等等几乎包含目前所有的文件上传漏洞类型,刷完即掌握文件上传漏洞的所有要点。 文件中打包了所需的所有环境...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值