ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全安全文章 → 强网杯CTF防御赛ez_upload Writeup

强网杯CTF防御赛ez_upload Writeup

时间:2018-05-14 09:50:42人气:作者:本站作者我要评论

这是强网杯拟态防御线下赛遇到的web题目,本来是不打算分享Writeup的,但是由于问的人很多,于是这里分享给大家。

强网杯CTF防御赛ez_upload Writeup

ez_upload这题算是非常经典的堆叠black trick的题目,算是比较典型的ctf式题目(虽然现在大家都很抵制这样的题目),这里主要是分享Writeup以及我们队在完成题目时的思考流程。

ez_upload 思考流程

最开始我先描述一下题目逻辑。

1、login.php,登陆页面,只获取了username,没有任何限制,username会在转义后进入session。

2、index.php,页面输出了username,ip(可以被xff覆盖),以及上传文件列表(不完整,只有10位)。

3、upload.php,上传文件,要求必须上传php,但是又过滤很多,没办法绕过限制。

在拿到题目后,我们可以得到以下信息:

1、登陆无任何限制,只输入用户名,但单引号、双引号、反斜杠会被转义。aaa' => aaa\'

1)hint提到数据库中username的长度为25

2、登陆后,index.php获取ip,这个ip可以被xff覆盖,而且是每次都会获取。

1)xff受到waf限制,形似。

  1. $ip = get_ip_from_xff();
  2. echo $ip;
  3. waf($ip);

但这里只拦截包括单引号、反斜杠

3、上传文件,要求必须上传php,但会被waf拦截。

1)代码形似:

  1. waf($_FILES);

所以和ip那里触发不一致

2)看上去对php的验证在前,在最早的测试中,只有在触发waf的情况下才能被认为是php(猜测)

  1. <?php.....
  2. <?\n.....

这里的判断看上去完全一致,像是个悖论

3、上述中所有提到的变量,在输出前都是从session里面取得,但提示中数据库存在。

那么猜测有两个数据库操作点。

1、index.php查看文件列表,select filename from uploads where user = '\$user' and ip = "\$ip"? # ip是否参与未知

2、upload.php上传文件,insert into uploads values (id, '\$user', '\$ip', '\$filename')...

###########猜测分割钱###########
在最早分析完题目后,由于我们没办法绕过上传,所以重新思考了所有的条件。于是有了下面的猜测:

猜测这里存在二次注入,通过user25位阶段对\的转义,然后转义单引号,这样与下一个单引号闭合,于是完成insert注入。

猜测为注入题目...

文件如果被上传,那么一定可以被index.php看到,那么我们需要假设这个文件一定可以被上传。

但我们传不了,那么有两种假设,有我们忽略的条件或者black trick。

而忽略的条件只有waf(尤其是ip上的

假设ip上的waf是用来测试上传文件的文件名

而insert语句为insert into uploads values (id, '\$user', '\$filename')...

我们可以通过测试ip的waf,知道filename的waf。

但在这种假设下,文件一定可以被上传

从上面的条件思考upload.php的核心代码大致如下

  1. if(!empty($_FILES['upfiles']['tmp_name']))
  2. {
  3.     if(is_array($_FILES['upfile'])){
  4.         die();
  5.     }
  6.     if(checkIsPhp($_FILES['upfile'])){
  7.         die('bu shi php')
  8.     }
  9.     if(waf($FILES['upfiles'])){
  10.         mysql_query('insert')
  11.     }else{
  12.         die('waf')
  13.     }
  14. }

重新思考流程后,我们可以想到,这里的文件一定可以被上传(即使不能直接上传php)

在第二天的比赛中,经过测试,我们发现后台的判断非常奇怪,在假设文件可以被上传的情况下,后台大概是判断是不是一个纯粹的php文件,在不考虑强行脑洞的情况下,我们需要寻找一个非 在完成题目之后,我拿到了题目的源码,重新回顾源码后发现一些有趣的东西。

  1. upload.php
  3. <?php
  4. session_start();
  5. include_once 'lib/clean.php';
  6. include_once 'lib/database.php';
  8. if (isset($_FILES['upfile'])) {
  9.     $file = $_FILES['upfile'];
  10.     if ($file ['error'] > 0) {
  11.         switch ($file ['error']) {
  12.             case 1 :
  13.                 $mes = 'The uploaded file exceeds the value of the upload_max_filesize option in the PHP configuration file';
  14.                 break;
  15.             case 2 :
  16.                 $mes = 'Exceeded the size of the form MAX_FILE_SIZE limit';
  17.                 break;
  18.             case 3 :
  19.                 $mes = 'File section was uploaded';
  20.                 break;
  21.             case 4 :
  22.                 $mes = 'No upload file selected';
  23.                 break;
  24.             case 6 :
  25.                 $mes = 'No temporary directory found';
  26.                 break;
  27.             case 7 :
  28.             case 8 :
  29.                 $mes = 'System error';
  30.                 break;
  31.         }
  32.         die($mes);
  33.     }
  34.     $content = file_get_contents($file['tmp_name']);
  35.     checkMIME($file);
  36.     if (checkContent($content) && checkExts($file['name'])) {
  37.         upload($file);
  38.     } else {
  39.         die('attack detected');
  40.     }
  41. else {
  42.     die('file not found');
  43. }
  45. function upload($file)
  46. {
  47.     $savepath = dirname(__file__) . '/uploads/';
  48.     $filename = explode('.', $file['name']);
  49.     $newname = rand_name() . "." . trim(end($filename));
  50.     $finalname = $savepath . $newname;
  51.     if (move_uploaded_file($file['tmp_name'], $finalname)) {
  52.         $db = new Database();
  53.         //,1,(select substring(filename,10,10) from(select filename from picture limit 0,1)x))#
  54.         if ($db->insert($_SESSION['username'], getip(), $newname)) {
  55.             header('location: index.php');
  56.             exit();
  57.         }
  58.     }
  59. }
  61. function rand_name($l = 64)
  62. {
  63.     $str = null;
  64.     $Pool = "ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyz_";
  65.     $max = strlen($Pool) - 1;
  66.     for ($i = 0; $i < $l; $i++) {
  67.         $str .= $Pool[rand(0, $max)];
  68.     }
  69.     return $str;
  70. }
  72. function checkExts($filename)
  73. {
  74.     $AllowedExt = array('php', 'php3', 'php4', 'php5', 'pht', 'phtml', 'inc');
  75.     $filename = explode('.', $filename);
  76.     if (in_array(strtolower($filename[count($filename) - 1]), $AllowedExt)) {
  77.         return false;
  78.     }
  79.     return true;
  80. }
  82. function checkMIME($file)
  83. {
  84.     // text/php text/x-php
  85.     $php_ext = array("text/php""text/x-php");
  86.     $type = mime_content_type($file['tmp_name']);
  87.     if(!in_array(strtolower($type), $php_ext)){
  88.         die("i need php file");
  89.     }
  90. }
  92. function checkContent($content)
  93. {
  94.     if (stripos($content, '<?') === 0) {
  95.         return false;
  96.     }
  97.     return true;
  98. }

upload中我们一直认为是悖论的过滤,是通过mime_content_type来判断的,这也是为什么我们可以用#!/usr/bin/php绕过的原因,蛮有意思的一个点

相关文章

猜你喜欢

  • 深入解析浅谈《快3单双准确率方法》成功方案

    2022-09-28 /

  • 全网首发《快3单双大小必中方法技巧》思路汇总

    2022-09-28 /

  • 资深攻略《快3大小必中技巧》上岸方法

    2022-09-28 /

  • 【最准确的玩法】《回血上岸计划导师QQ》操作系列

    2022-09-28 /

  • 经验教程《导师一分快三计划》最新窍门

    2022-09-28 /

  • 高手教你《大小单双最安全的打法》三期必中

    2022-09-28 /

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

推荐文章

本类推荐

本类热门

热门软件

快手官方解封神器,一键快速解封快手账号安全文章 “黑客教父”郭盛华被警方抓捕 涉嫌非法利用信息网络罪被刑拘安全新闻 福昕pdf编辑器(附激活码)图像处理 最新电影电视可用m3u8直播源【2018-5-15更新m3u8直播源】破解资源 黑客定位技术-黑客定位手机号查询精准物理位置找人安全新闻 餐饮管家收银管理2.2.0下载其它行业 最新BarTender2020注册机下载扫描打印 谷歌访问助手chrome插件上网辅助 迅捷视频转换器免费(附注册码)格式转换

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 琼ICP备2021004244号-1| 琼ICP备2021004244号-1

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网