目录
本文通过《upload-labs靶场通关笔记系列》来进行upload-labs靶场的渗透实战,本文讲解upload-labs靶场第四关文件.ini渗透实战。
一、ini文件绕过原理
在 PHP 环境中,ini文件可以用于配置 PHP 的运行环境。.user.ini 是 PHP 中用于特定目录配置的特殊文件 ,类似 Apache 的.htaccess 文件,主要作用如下所示。
- 自定义配置:允许非管理员用户为特定目录定义 PHP 配置指令,这些指令在该目录及其子目录中的 PHP 脚本执行时生效。比如可修改 upload_max_filesize 调整上传文件大小限制、修改 memory_limit 改变脚本可用内存 ,而不影响整个服务器配置。
- 文件包含:借助配置项 auto_prepend_file(在执行 PHP 文件前自动包含指定文件)和 auto_append_file(在执行 PHP 文件后自动包含指定文件) ,可实现恶意代码注入或后门构造。攻击者上传恶意.user.ini 文件,指定包含恶意 PHP 代码文件,就能在用户访问目录下 PHP 文件时执行恶意代码。
在文件上传关卡,具体利用方法如下所示。
-
编写.user.ini 文件:创建.user.ini,写入如下内容,意思是让服务器在每个 PHP 请求前自动包含名为pass5.jpg的文件。
auto_prepend_file = "pass5.jpg"
-
准备pass5.jpg的shell文件:创建pass5.jpg,内容为获取服务器php信息的PHP 代码,具体如下所示。
<?php phpinfo(); ?> -
上传文件:当该关卡允许.ini和jpg后缀上传时,尝试将.user.ini 和pass5.jpg上传到服务器指定目录。
-
触发执行:上传成功后,访问目录下可执行的 PHP 文件(如关卡中提示的 readme.php ),服务器会根据.user.ini 配置,自动包含并执行pass5.jpg中的恶意代码。
二、源码审计
接下来对upload-labs 第 5 关的源码进行审计,如下为已经进行详细注释版的代码,很明显这段代码也是黑名单过滤来实现进行安全检查的。虽然包含多种变体(".php", ".php5", ".php4", ".php3", ".php2", ".php1", ".html", ".htm", ".phtml", ".pht", ".pHp", ".pHp5", ".pHp4", ".pHp3", ".pHp2", ".pHp1", ".Html", ".Htm", ".pHtml", ".jsp", ".jspa", ".jspx", ".jsw", ".jsv", ".jspf", ".jtml", ".jSp", ".jSpx", ".jSpa", ".jSw", ".jSv", ".jSpf", ".jHtml", ".asp", ".aspx", ".asa", ".asax", ".ascx", ".ashx", ".asmx", ".cer", ".aSp", ".aSpx", ".aSa", ".aSax", ".aScx", ".aShx", ".aSmx", ".cEr", ".sWf", ".swf", ".htaccess"),与第四关的区别是将"ini"变为了"htaccess",所以很明显这一关卡遗漏新的危险扩展名(如.ini等),这也是我们渗透这一关卡的关键。
<?php
// 初始化上传状态变量
$is_upload = false; // 布尔值,标记文件是否上传成功
$msg = null; // 字符串,用于存储上传过程中的错误信息
// 检查是否通过POST方法提交了表单(submit按钮被点击)
if (isset($_POST['submit'])) {
// 检查上传目录是否存在
if (file_exists(UPLOAD_PATH)) {
// 定义禁止上传的文件扩展名黑名单(包含各种变体)
$deny_ext = array(
// PHP相关扩展名及变体
".php", ".php5", ".php4", ".php3", ".php2",
".pHp", ".pHp5", ".pHp4", ".pHp3", ".pHp2",
// HTML相关扩展名及变体
".html", ".htm", ".phtml", ".pht",
".Html", ".Htm", ".pHtml",
// JSP相关扩展名及变体
".jsp", ".jspa", ".jspx", ".jsw", ".jsv", ".jspf", ".jtml",
".jSp", ".jSpx", ".jSpa", ".jSw", ".jSv", ".jSpf", ".jHtml",
// ASP相关扩展名及变体
".asp", ".aspx", ".asa", ".asax", ".ascx", ".ashx", ".asmx", ".cer",
".aSp", ".aSpx", ".aSa", ".aSax", ".aScx", ".aShx", ".aSmx", ".cEr",
// 其他危险文件类型
".sWf", ".swf", // Flash文件
".htaccess" // Apache配置文件
);
// 获取并处理上传文件名
$file_name = trim($_FILES['upload_file']['name']); // 去除首尾空格
$file_name = deldot($file_name); // 删除文件名末尾的点(防御file.php.攻击)
$file_ext = strrchr($file_name, '.'); // 获取文件扩展名(从最后一个点开始)
$file_ext = strtolower($file_ext); // 统一转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext); // 去除NTFS备用数据流
$file_ext = trim($file_ext); // 去除扩展名首尾空格
// 检查文件扩展名是否在黑名单中
if (!in_array($file_ext, $deny_ext)) {
// 获取上传的临时文件路径
$temp_file = $_FILES['upload_file']['tmp_name'];
// 构造目标文件路径(使用原始文件名,存在安全隐患)
$img_path = UPLOAD_PATH.'/'.$file_name;
// 将临时文件移动到目标位置
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true; // 标记上传成功
} else {
$msg = '上传出错!'; // 文件移动失败(可能权限不足或目录不可写)
}
} else {
$msg = '此文件类型不允许上传!'; // 文件类型被禁止
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!'; // 上传目录不存在
}
}
?>三、渗透实战
1、查看提示
进入靶场pass5,点击右上角的提示,得知上传目录存在readme.php文件,如下图所示。
2、制作.user.ini文件
(1)首先创建一个文本文件
创建文件并里面写入,该配置文件的效果是在.user.ini相同的目录下,所有的php文件都包含pass5.jpg这个文件。
auto_prepend_file=pass5.jpg(2)保存文件名为.user.ini
将文件保存为.user.ini并将保存类型配置为所有文件
2、制作jpg后缀脚本
(1)创建一个文本文件
代码内容如下所示:
<?php
phpinfo();
?>(2)保存为文件名pass5.jpg
点击文件另存为pass5.jpg,保存类型设置为所有文件。
3、上传ini与jpg文件
(1)准备好待上传文件
两个所需要的文件就创建完毕,图示如下。
(2)打开upload靶场第五关
http://127.0.0.1/upload-labs/Pass-05/index.php
(3)上传ini与jpg文件
如下所示,上传user.ini与jpg文件,两者均上传成功。
4、访问readme.php
根据本关提示,在上传目录下是有一个readme.php文件的,所以直接访问url:http://127.0.0.1/upload-labs/upload/readme.php,如下所示,php版本号成功显示,证明文件上传成功。
