[CISCN2021 Quals]upload-解题步骤详解

admin

101398
文章

87
评论

2022年6月9日10:13:50评论47 views字数 4391阅读14分38秒阅读模式

[CISCN2021 Quals]upload-解题步骤详解 ciscn复现

学习自yu22x师傅博客

upload

这道题当天比赛，扫描后台发现了/example的页面，一共两篇源码，当时认为是利用example的源码，不适用index但是他题的意思是两个页面的源码都要利用起来，当天审计第一个页面的思路就是，先用ps创建一个图片大小为1*1的照片来过前两个检测，然后再修改照片里面的编码换成一句话木马，但是用于他有名字检测，所以没法继续进行。

学洗习了羽师傅的操作和想法，在buu上进行复现。

index.php

<?phpif (!isset($_GET["ctf"])) {    highlight_file(__FILE__);    die();}
if(isset($_GET["ctf"]))    $ctf = $_GET["ctf"];
if($ctf=="upload") {    if ($_FILES['postedFile']['size'] > 1024*512) {        die("这么大个的东西你是想d我吗？");    }    $imageinfo = getimagesize($_FILES['postedFile']['tmp_name']);    if ($imageinfo === FALSE) {        die("如果不能好好传图片的话就还是不要来打扰我了");    }    if ($imageinfo[0] !== 1 && $imageinfo[1] !== 1) {        die("东西不能方方正正的话就很讨厌");    }    $fileName=urldecode($_FILES['postedFile']['name']);    if(stristr($fileName,"c") || stristr($fileName,"i") || stristr($fileName,"h") || stristr($fileName,"ph")) {        die("有些东西让你传上去的话那可不得了");    }    $imagePath = "image/" . mb_strtolower($fileName);    if(move_uploaded_file($_FILES["postedFile"]["tmp_name"], $imagePath)) {        echo "upload success, image at $imagePath";    } else {        die("传都没有传上去");    }}

我们由于还是属于初学者我就把一些知识点都进行整理，首先就是这个$_FILES这个经由 HTTP POST 文件上传而提交至脚本的变量。类似于旧数组 $HTTP_POST_FILES 数组。

$_FILES数组内容如下:<input type="file" name="userfile">$_FILES['userfile']['name']客户端机器文件的原名称。$_FILES['userfile']['type'] 文件的 MIME 类型，需要浏览器提供该信息的支持，例如“image/gif”。$_FILES['userfile']['size'] 已上传文件的大小，单位为字节。$_FILES['userfile']['tmp_name'] 文件被上传后在服务端储存的临时文件名。$_FILES['userfile']['error'] 和该文件上传相关的错误代码。['error'] 是在 PHP 4.2.0 版本中增加的。注: 在 PHP 4.1.0 版本以前该数组的名称为 $HTTP_POST_FILES，它并不像 $_FILES 一样是自动全局变量。PHP 3 不支持 $HTTP_POST_FILES 数组。

这样我们就知道了我们构造的上传网页，会转化为我们的数组，而第一个[]内就是我们上传文件的变量名字，第二个就是php规定的东西。

getmagesize()函数用于获取图像尺寸，类型等信息。

可以使用以下内容来绕过大小。

#define width 1#define height 1

如果我们用函数执行一个图片，并输出他生成的数组效果如下。

Array(    [0] => 350   图像宽度的像素值    [1] => 318   图像高度的像素值    [2] => 2     图像的类型，返回的是数字，其中1 = GIF，2 = JPG，3 = PNG，4 = SWF，5 = PSD，6 = BMP，7 = TIFF(intel byte order)，8 = TIFF(motorola byte order)，9 = JPC，10 = JP2，11 = JPX，12 = JB2，13 = SWC，14 = IFF，15 = WBMP，16 = XBM   宽度和高度的字符串    [3] => width="350" height="318"   宽和高的字符串    [bits] => 8  图像每种颜色的位数    [channels] => 3    [mime] => image/jpeg)

首先第一个是看是否上传的为照片，如果不是，报错，然后就是我们的图片像素宽高都应该是1。然后是把我们穿的文件的名字进行url解码，并进行stristr函数匹配。虽然函数本身不检测大小写，但是平常普通的绕过手段，.htaccess 的h被过滤，.use.ini 的i被过滤，而且就算我们抓包修改他的后缀，也会由于是后缀名字一起被检测。

我们扫描一下目录。/example

<?phpif (!isset($_GET["ctf"])) {    highlight_file(__FILE__);    die();}
if(isset($_GET["ctf"]))    $ctf = $_GET["ctf"];
if($ctf=="poc") {    $zip = new ZipArchive();    $name_for_zip = "example/" . $_POST["file"];    if(explode(".",$name_for_zip)[count(explode(".",$name_for_zip))-1]!=="zip") {        die("要不咱们再看看？");    }    if ($zip->open($name_for_zip) !== TRUE) {        die ("都不能解压呢");    }
    echo "可以解压，我想想存哪里";    $pos_for_zip = "/tmp/example/" . md5($_SERVER["REMOTE_ADDR"]);    $zip->extractTo($pos_for_zip);    $zip->close();    unlink($name_for_zip);    $files = glob("$pos_for_zip/*");    foreach($files as $file){        if (is_dir($file)) {            continue;        }        $first = imagecreatefrompng($file);        $size = min(imagesx($first), imagesy($first));        $second = imagecrop($first, ['x' => 0, 'y' => 0, 'width' => $size, 'height' => $size]);        if ($second !== FALSE) {            $final_name = pathinfo($file)["basename"];            imagepng($second, 'example/'.$final_name);            imagedestroy($second);        }        imagedestroy($first);        unlink($file);    }}

根据大麦的要求我们应该上传一个zip文件才可以利用，但是前面把i这个字母过滤掉了，我们只能思考mb_strtolower()函数可否利用。

$imagePath = "image/" . mb_strtolower($fileName);//可以利用一些unicode字符绕过。经过测试发现<?phpvar_dump(mb_strtolower('İ')==='i');?>结果为true并且前面还进行了url解密。所以可以用%c4%b0代替'İ'字符

为了绕过图片检测并实现木马的写入我们使用这个脚本。

https://github.com/huntergregal/PNG-IDAT-Payload-Generator/

首先要修改脚本中的payload。