BUUCTF WEB [SUCTF 2019]CheckIn
打開頁面是一個上傳界面:
而且題目提示給了源碼!GitHub上面,看了看還有flag嘞~~
這不重要,我是來看源碼的!!!index.php源碼如下:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>Upload Labs</title>
</head>
<body>
<h2>Upload Labs</h2>
<form action="index.php" method="post" enctype="multipart/form-data">
<label for="file">文件名:</label>
<input type="file" name="fileUpload" id="file"><br>
<input type="submit" name="upload" value="提交">
</form>
</body>
</html>
<?php
// error_reporting(0);
$userdir = "uploads/" . md5($_SERVER["REMOTE_ADDR"]);
if (!file_exists($userdir)) {
mkdir($userdir, 0777, true);
}
file_put_contents($userdir . "/index.php", "");
if (isset($_POST["upload"])) {
$tmp_name = $_FILES["fileUpload"]["tmp_name"];
$name = $_FILES["fileUpload"]["name"];
if (!$tmp_name) {
die("filesize too big!");
}
if (!$name) {
die("filename cannot be empty!");
}
$extension = substr($name, strrpos($name, ".") + 1);
if (preg_match("/ph|htacess/i", $extension)) {
die("illegal suffix!");
}
if (mb_strpos(file_get_contents($tmp_name), "<?") !== FALSE) {
die("<? in contents!");
}
$image_type = exif_imagetype($tmp_name);
if (!$image_type) {
die("exif_imagetype:not image!");
}
$upload_file_path = $userdir . "/" . $name;
move_uploaded_file($tmp_name, $upload_file_path);
echo "Your dir " . $userdir. ' <br>';
echo 'Your files : <br>';
var_dump(scandir($userdir));
}
分析一下,可以看見後綴名的檢測,內容檢測,類型檢測:
內容還是可以繞過的!!類型檢測也可以繞過,,,,
後綴檢測怎麼辦,,,後面可以上傳圖片馬,但是圖片不能解析啊!!
先構造一個圖片馬:
改名爲1.gif上傳成功!
路徑也是知道的!嘗試了一下apache解析漏洞,發現不行,,,,
應該是讓我們上傳圖片,然後解析成PHP代碼執行,可是.htacess被過濾了,,
後面知道了還有個配置文件同樣也有.htacess的功能,那就是.user.ini文件
在.user.ini中可以識別PHP_INI_PERDIR和PHP_INI_USER模式的INI設置,我們可以看一下選項列表
php.ini 配置選項列表
auto_append_file、auto_prepend_file兩個配置自動包含文件,,,區別好像就是文件前後包含
進行構造上傳:
GIF89a
auto_prepend_file=1.gif
沒錯,上傳成功
而且看代碼我們也知道,自動生成了一個內容爲空的index.php文件,不過由於.user.ini的存在
index.php會自動包含1.gif文件,訪問index.php可以看見:
沒毛病,直接使用蟻劍連接:
得到flag:
