Web文件上传漏洞
声明
好好向大佬们学习!!!
攻击
文件上传漏洞
摘自
https://book.nu1l.com/tasks/#/
使用BUUCTF在线环境
https://buuoj.cn/challenges
访问
http://3e8b5e24-d936-4a8f-9d1b-15ee36321db8.node3.buuoj.cn
一个上传文件功能,随便点点看,点到了提交查询,发现只能上传zip、jpg、gif、png,看看怎么绕过过滤上传
我的文件上传本来就薄弱,这个题也确实很打击我
上来一看是上传,而且只能图片,什么图片马,各种content-type绕过,十六进制编码绕过,在脑海中闪过,但是唯独这个zip格格不入,这不是明摆了和书中的上传zip,利用zip解压,最后解析有点类似吗,所以果断放弃了前面的想法,但是由于本身也比较菜还是参考了大佬的博客
https://blog.csdn.net/rfrder/article/details/108930033
由于上传功能比较特殊,不是光绕过上传检测就完了,还需要知道上传到哪了,如何解析,还涉及路径穿越解析,所以环境需要我们可操控,我们就自己用docker搭建环境吧,就不用了BUUCTF的环境了
docker搭建
vim docker-compose.yml
内容如下
version: '3.2'
services:
upload:
image: registry.cn-hangzhou.aliyuncs.com/n1book/web-upload:latest
ports:
- 80:80
执行
docker-compose up -d
为什么在BUUCTF开的没有源码
访问docker搭建的80端口
http://192.168.137.144
可以看到,浏览器往下拉是有源码的,先看看源码,反正我比较菜,源码中我把HTML都省略了
<?php
header("Content-Type:text/html; charset=utf-8");
// 每5分钟会清除一次目录下上传的文件
//会包含文件pclzip.lib.php,感觉这个php里面是有一些针对zip包进行解压等的操作的
require_once('pclzip.lib.php');
//要是没上传文件,就输出上传页面
if(!$_FILES){
echo '省略的HTML'
show_source(__FILE__);
}else{
$file = $_FILES['file'];
//限制上传的文件名不为空
if(!$file){
exit("请勿上传空文件");
}
$name = $file['name'];
$dir = 'upload/';
//strrchr($name, '.')
//strrchr() 函数查找字符串在另一个字符串中最后一次出现的位置,并返回从该位置到字符串结尾的所有字符。
//比如上传的文件名为$name=1.php.txt,这里strrchr($name, '.') 执行结果为.txt
//substr(strrchr($name, '.'), 1)
//substr字符串截取,从下标为1开始截取,那就是把点略过,截取后为txt
//通过strtolower函数将所有字符转换为小写,赋值给ext变量
$ext = strtolower(substr(strrchr($name, '.'), 1));
//如果我们上传的文件名为1.txt,那么path变量就为upload/1.txt
$path = $dir.$name;
//检查是否为目录
function check_dir($dir){
$handle = opendir($dir);
while(($f = readdir($handle)) !== false){
if(!in_array($f, array('.', '..'))){
if(is_dir($dir.$f)){
check_dir($dir.$f.'/');
}else{
$ext = strtolower(substr(strrchr($f, '.'), 1));
if(!in_array($ext, array('jpg', 'gif', 'png'))){
unlink($dir.$f);
}
}
}
}
}
//创建目录
if(!is_dir($dir)){
mkdir($dir);
}
//将目录名拼接一个随机数,读到这里,基本上就知道需要路径穿越了,因为我们不知道随机数值,所以就算绕过上传,解析也是一大关
$temp_dir = $dir.md5(time(). rand(1000,9999));
if(!is_dir($temp_dir)){
mkdir($temp_dir);
}
//首先进行后缀的校验,把刚刚拿到的,最后一个.后面的字符串和这里的zip、jpg、gif、png进行对比校验
if(in_array($ext, array('zip', 'jpg', 'gif', 'png'))){
if($ext == 'zip'){
//使用PclZip进行解压缩
$archive = new PclZip($file['tmp_name']);
//遍历解压缩后的每个目录
foreach($archive->listContent() as $value){
$filename = $value["filename"];
//一段较为简单的正则,就是匹配每个文件结尾的位置,是否是.php
if(preg_match('/\.php$/', $filename)){
exit("压缩包内不允许含有php文件!");
}
}
if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
check_dir($dir);
exit("解压失败");
}
check_dir($dir);
exit('上传成功!');
}else{
move_uploaded_file($file['tmp_name'], $temp_dir.'/'.$file['name']);
check_dir($dir);
exit('上传成功!');
}
}else{
exit('仅允许上传zip、jpg、gif、png文件!');
}
}
其实看了一下代码,大致是了解了,正如书上所说,需要将php文件达成zip包,然后,绕过路经检测,通过路径穿越将文件放到指定目录,然后访问
由于我们上传的路径目录是upload/随机值/上传的文件,这一点再验证一下,我们随便上传一张图片,进入docker看一下
所以我们要穿越两层,直到根目录下,一层随机目录,一层upload
所以需要文件名为/…/…/file.php,由于需要构造解析,利用apache的解析漏洞,如果从右开始,直到哪个能识别就解析哪个,构造最终文件名为/…/…/zzz.php.zzz,这个文件名长度为18位
windows操作系统下,右键创建文件,文件名随便写一个18位的(跟刚刚的文件名位数一样),这里是把后缀涵盖的,例如
123456789012345678
然后我用的WinRar,右键添加到zip
接下来就开始用010 Editor进行zip文件的编辑
010 Editor软件怎么下载?怎么破解?官网?破解教程?
NONONO,这里疯狂安利乌云安全公众号,感谢大佬的整理,大佬把CTF常用的工具都整到百度网盘了
乌云安全公众号大佬,访问下面这个找下载链接
https://mp.weixin.qq.com/s/WotJoG57CVGQ-mFqn2_cCQ
下载完之后,直接双击打开
左上角文件,打开刚刚那个zip
打开后重点关注下方的面板,看值那一列就是我们的文件名123456789012345678,选Start不为0h的那个,我这是30h
注意deFileName[18],现在的值是123456789012345678
修改为/…/…/zzz.php.zzz,ctrl+s保存
上传这个zip
docker里面皮一下,看一下,已经上传到根目录了
利用apache的文件解析漏洞,访问这个php,拿到flag
http://192.168.137.144/zzz.php.zzz
n1book{ThisIsUpLoadToPicfl4g}
1679
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
