2. 程式人生 > 實用技巧 >攻防世界-web-filemanager(原始碼洩漏、二次注入)

攻防世界-web-filemanager(原始碼洩漏、二次注入)

阿新 發佈:2020-12-07

題目來源:XDCTF 2015
題目描述:暫無

進入介面

這題看似檔案上傳,其實主要是利用sql注入修改指定檔案在資料庫中的字尾名為空。

首先,/www.tar.gz 下載原始碼

原始碼審計

資料庫的欄位結構為

SET NAMES utf8;
SET FOREIGN_KEY_CHECKS = 0;

DROP DATABASE IF EXISTS `xdctf`;
CREATE DATABASE xdctf;
USE xdctf;

DROP TABLE IF EXISTS `file`;
CREATE TABLE `file` (
  `fid` int(10) unsigned NOT NULL
 
 AUTO_INCREMENT,
  `filename` varchar(256) NOT NULL,
  `oldname` varchar(256) DEFAULT NULL,
  `view` int(11) DEFAULT NULL,
  `extension` varchar(32) DEFAULT NULL,
  PRIMARY KEY (`fid`)
) ENGINE=InnoDB AUTO_INCREMENT=11 DEFAULT CHARSET=utf8;

SET FOREIGN_KEY_CHECKS = 1;

common

  • 對傳入的引數進行了addslashes()轉義
  • 資料庫連線和遍歷陣列
  • 基本沒有直接的注入漏洞
<?php
/**
 * Created by PhpStorm.
 * User: phithon
 * Date: 15/10/14
 * Time: 下午7:58
 */

$DATABASE = array(

    "host" => "127.0.0.1",
    "username" => "root",
    "password" => "ayshbdfuybwayfgby",
    "dbname" => "xdctf",
);

$db = new mysqli($DATABASE['host'], $DATABASE
 
['username'], $DATABASE['password'], $DATABASE['dbname']);
$req = array();

foreach (array($_GET, $_POST, $_COOKIE) as $global_var) {
    foreach ($global_var as $key => $value) {
        is_string($value) && $req[$key] = addslashes($value);
    }
}

define("UPLOAD_DIR", "upload/");

function redirect($location) {
    header("Location: {$location}");
    exit;
}
common.inc.php

upload

  • 白名單限制了字尾名
  • 查詢檔名是否存在,進行了addslashes()轉義
  • 也不存在直接注入漏洞
<?php
/**
 * Created by PhpStorm.
 * User: phithon
 * Date: 15/10/14
 * Time: 下午8:45
 */

require_once "common.inc.php";

if ($_FILES) {
    $file = $_FILES["upfile"]; //PHP $_FILES 是一個預定義的陣列,用來獲取通過 POST 方法上傳檔案的相關資訊(比如name、type、tmp_name、error、size等)。如果為單個檔案上傳,那麼 $_FILES 為二維陣列;如果為多個檔案上傳,那麼 $_FILES 為三維陣列。
    if ($file["error"] == UPLOAD_ERR_OK) { //PHP檔案上傳完畢之後,返回了UPLOAD_ERR_OK錯誤程式碼,這表示檔案上傳成功
        $name = basename($file["name"]); //basename() 函式返回路徑中的檔名部分。
        $path_parts = pathinfo($name); //pathinfo() 返回一個關聯陣列包含有 path 的資訊。包括以下的陣列元素:[dirname]: 目錄路徑、[basename]: 檔名、[extension]: 檔案字尾名、[filename]: 不包含字尾的檔名

        //上傳副檔名的白名單
        if (!in_array($path_parts["extension"], array("gif", "jpg", "png", "zip", "txt"))) {
            exit("error extension");
        }
        $path_parts["extension"] = "." . $path_parts["extension"];

        $name = $path_parts["filename"] . $path_parts["extension"];

        // $path_parts["filename"] = $db->quote($path_parts["filename"]);
        // Fix
        $path_parts['filename'] = addslashes($path_parts['filename']); //檔名轉義

        //根據上傳檔案的檔名和副檔名判斷資料庫中該檔案是否exist
        $sql = "select * from `file` where `filename`='{$path_parts['filename']}' and `extension`='{$path_parts['extension']}'";

        $fetch = $db->query($sql);

        if ($fetch->num_rows > 0) {
            exit("file is exists");
        }

        //move_uploaded_file() 函式將上傳的檔案移動到新位置。若成功,則返回 true,否則返回 false。這裡將上傳的檔案移動到upload/下
        if (move_uploaded_file($file["tmp_name"], UPLOAD_DIR . $name)) {

            //資料庫插入新上傳檔案的檔名和副檔名
            $sql = "insert into `file` ( `filename`, `view`, `extension`) values( '{$path_parts['filename']}', 0, '{$path_parts['extension']}')";
            $re = $db->query($sql);
            if (!$re) {
                print_r($db->error);
                exit;
            }
            $url = "/" . UPLOAD_DIR . $name;
            echo "Your file is upload, url:
                <a href=\"{$url}\" target='_blank'>{$url}</a><br/>
                <a href=\"/\">go back</a>";
        } else {
            exit("upload error");
        }

    } else {
        print_r(error_get_last());
        exit;
    }
}
upload.php

delete

  • 就是刪除,沒什麼好講
<?php
/**
 * Created by PhpStorm.
 * User: phithon
 * Date: 15/10/14
 * Time: 下午9:39
 */

require_once "common.inc.php";

if(isset($req['filename'])) {
    $result = $db->query("select * from `file` where `filename`='{$req['filename']}'");
    if ($result->num_rows>0){
        $result = $result->fetch_assoc();
    }

    $filename = UPLOAD_DIR . $result["filename"] . $result["extension"];
    if ($result && file_exists($filename)) {
        $db->query('delete from `file` where `fid`=' . $result["fid"]);
        unlink($filename);
        redirect("/");
    }
}
?>
<!DOCTYPE html>
<html>
<head>
    <title>file manage</title>
    <base href="/">
    <meta charset="utf-8" />
</head>
<h3>Delete file</h3>
<body>
    <form method="post">
        <p>
            <span>delete filename(exclude extension):</span>
            <input type="text" name="filename">
        </p>
        <p>
            <input type="submit" value="delete">
        </p>
    </form>
</body>
</html>
delete.php

rename

  • filename=$req['oldname']是從資料庫查詢輸入的oldname是否在於filename欄位,然後進行update修改
  • oldname={$result['filename']}將之前從資料庫中查詢出的filename更新到oldname當中,再次入庫造成二次注入
  • 可以通過sql注入,影響其extension為空,再修改檔案時加上.php字尾
  • 繞過file_exists()只需要再次上傳一個與資料庫當中filename的值相同的檔名即可
<?php
/**
 * Created by PhpStorm.
 * User: phithon
 * Date: 15/10/14
 * Time: 下午9:39
 */

require_once "common.inc.php";

//isset函式是檢測變數是否設定
if (isset($req['oldname']) && isset($req['newname'])) {
    //先查詢資料庫中是否已存在舊檔名
    $result = $db->query("select * from `file` where `filename`='{$req['oldname']}'");
    if ($result->num_rows > 0) {
        $result = $result->fetch_assoc();
    } else {
        exit("old file doesn't exists!");
    }

    if ($result) {

        //basename() 函式返回路徑中的包含字尾的檔名部分。
        $req['newname'] = basename($req['newname']); 
        
        //更新資料庫中的舊檔名(不包含字尾的檔名)為新檔名(包含字尾的檔名)
        $re = $db->query("update `file` set `filename`='{$req['newname']}', `oldname`='{$result['filename']}' where `fid`={$result['fid']}");
        if (!$re) {
            print_r($db->error);
            exit;
        }
        //更新伺服器上的舊檔名為:資料庫中的新檔名(包含字尾)+資料庫中的舊副檔名
        //更新伺服器上的新檔名為:客戶端輸入的新檔名(包含字尾)+資料庫中的舊副檔名
        //因此,在這裡,我們可以先把資料庫中的舊副檔名置為空,然後rename時,把新檔名設定為test.php
        $oldname = UPLOAD_DIR . $result["filename"] . $result["extension"];
        $newname = UPLOAD_DIR . $req["newname"] . $result["extension"];
        if (file_exists($oldname)) {
            rename($oldname, $newname);
        }
        $url = "/" . $newname;
        echo "Your file is rename, url:
                <a href=\"{$url}\" target='_blank'>{$url}</a><br/>
                <a href=\"/\">go back</a>";
    }
}
?>
<!DOCTYPE html>
<html>
<head>
    <title>file manage</title>
    <base href="/">
    <meta charset="utf-8" />
</head>
<h3>Rename</h3>
<body>
<form method="post">
    <p>
        <span>old filename(exclude extension):</span>
        <input type="text" name="oldname">
    </p>
    <p>
        <span>new filename(exclude extension):</span>
        <input type="text" name="newname">
    </p>
    <p>
        <input type="submit" value="rename">
    </p>
</form>
</body>
</html>

最重要的就是標紅的這5行。 Oldname和newname,有幾個特點:

字尾相同,都是$result['extension'] oldname的檔名來自資料庫,newname的檔名來自使用者輸入 首先後綴相同這個特點,就導致getshell似乎難以完成,如果要getshell那麼一定要將“非.php”字尾的檔案重新命名成“.php”的檔案。字尾相同怎麼重新命名? 除非字尾為空! 所以我們的update型注入就開始派上用場了。通過update型注入,我們可以將資料庫中extension欄位的值改為空,同時也可以控制filename的值,那麼等於說我能控制rename函式的兩個引數的值,這樣getshell就近在咫尺了。

但還有個坑,這裡改名的時候檢查了檔案是否存在:if(file_exists($oldname))我雖然通過注入修改了filename的值,但我upload目錄下上傳的檔名是沒有改的。 因為我利用注入將extension改為空了,那麼實際上資料庫中的filename總比檔案系統中真是的檔名少一個字尾。 那麼這裡的file_exists就驗證不過。怎麼辦? 簡單啊,再次上傳一個新檔案,這個檔名就等於資料庫裡的filename的值就好了。

所以最後整個getshell的流程,實際上是一個二次注入 + 二次操作getshell。

解題過程

根據原始碼審計結果,我們知道,程式碼中由於白名單限制,所以無法上傳惡意檔案,由於版本限制也不能用%00截斷,但有一個rename功能,只能修改檔名,但可以通過sql注入,影響其extension為空,再修改檔案時加上.php字尾。

先上傳一個用來sql注入的空檔案,檔名為 ',extension='.txt

修改檔名

新的檔名為test.txt.txt,但是資料庫中經過update語句

update `file` set `filename`='test.txt', `oldname`='',extension='' where `fid`={$result['fid']}

實際上,新檔案的filename為test.txt,extension為空

再上傳一個和上面newname檔名相同的木馬檔案

rename

下面直接菜刀連線即可。

參考:

https://blog.csdn.net/weixin_44604541/article/details/108917121

https://blog.csdn.net/weixin_43610673/article/details/107503183

攻防世界官方writeup

相關推薦

攻防世界-web-filemanager原始碼洩漏注入

題目來源:XDCTF 2015題目描述:暫無 進入介面 這題看似檔案上傳,其實主要是利用sql注入修改指定檔案在資料庫中的字尾名為空。

攻防世界-web-comment密碼爆破.git洩漏程式碼審計sql注入

題目來源:網鼎杯 2018題目描述:SQL 一密碼爆破 進入場景後,點擊發帖,輸入內容提交後,系統返回登入頁面

攻防世界-web-Web_php_wrong_nginx_config繞過登入目錄瀏覽後門利用

進入場景後,提示需要登入 嘗試開啟robots.txt頁面,發現2個隱藏頁面:hint.php和Hack.php

攻防世界-web-php_rceThinkPHP 5.0命令執行漏洞

本題進入場景後顯示如下頁面 這是一個 thinkphp 框架,先檢視版本號。在網址上隨意輸入一個不存在的模組 地址:

MapReduce之GroupingComparator分組輔助排序排序

指對Reduce階段的資料根據某一個或幾個欄位進行分組。 案例 需求 有如下訂單資料

攻防世界-web-favorite_numberphp5.5的陣列key溢位換行符繞過正則跨行匹配inode號繞過檔名過濾檔案輸出繞過正則

進入介面 <?php //php5.5.9 $stuff = $_POST[\"stuff\"]; $array = [\'admin\', \'user\']; if($stuff === $array && $stuff[0] != \'admin\') {

攻防世界-web-blgdel.htaccess檔案上傳上傳+包含漏洞

題目來源:CISCN-2018-Final題目描述:暫無 開啟頁面,是一個購物網站,可以註冊登入新增購物車購買商品等。

攻防世界-web-unfinishsql注入

題目來源:網鼎杯 2018題目描述:SQL 題目如下,是個登入頁面 通過awvs掃描得知存在register.php註冊頁面,並且註冊介面存在SQL盲注漏洞。

攻防世界-web-love_mathbase_convert進位制轉換繞過白名單和長度限制

題目來源:CISCN題目描述:解密 進入介面 <?php error_reporting(0); //聽說你很喜歡數學,不知道你是否愛它勝過愛flag

攻防世界-crypto-Normal_RSAopenssl和rsatool工具解密RSA

進入題目後下載附件,發現是2個檔案,flag.enc和pubkey.pem。猜測分別為加密後的flag和RSA公鑰。

攻防世界-web-ics-07PHP弱型別linux目錄結構特性繞過檔案型別過濾)

工控雲管理系統專案管理頁面解析漏洞。 進入題目後,點選進入專案管理頁面。

攻防世界-web-ics-02sql注入ssrf目錄掃描

題目來源:XCTF 4th-CyberEarth題目描述:工控雲管理系統的文件中心頁面,存在不易被發現的漏洞。

攻防世界web進階

1.PHP_python_template_injection 1.題目提示python模板注入,測試http://220.249.52.133:47149/{{7+7}},發現回顯“URL http://220.249.52.133:47149/14 not found”,說明括號裡的程式碼被執行了,存在SSTI。

攻防世界 - Web進階

supersqli: !!! 1.判斷有誤注入,1\'報錯, 1’ 報錯,1’# 正常且為True,1’ and 1=1# 正常且為True,1’ and 1=2# 正常且為False,所以它裡邊存在注入

攻防世界-web-Confusion1(python模板注入SSTI沙箱逃逸)

題目來源:XCTF 4th-QCTF-2018題目描述:某天,Bob說:PHP是最好的語言,但是Alice不贊同。所以Alice編寫了這個網站證明。在她還沒有寫完的時候,我發現其存在問題。(請不要使用掃描器)

攻防世界-crypto-easychallenge.pyc反編譯

進入題目後下載附件,發現是一個.pyc檔案。 pyc是一種二進位制檔案,是由py檔案經過編譯後,生成的檔案,是一種byte code,py檔案變成pyc檔案後,執行載入的速度會有所提高;另一反面,把py檔案編譯為pyc檔案,從而可

JavaScript閉包記憶體洩漏溢位以及記憶體回收,超直白解析

1 引言 變數作用域 首先我們先鋪墊一個知識點——變數作用域: 變數根據作用域的不同分為兩種:全域性變數和區域性變數。

攻防世界-Web進階-supersqli

很久之前做的題目了,現在拿到有點想不起來,記一下方法 其一:堆疊注入rename+alter

攻防世界-web PHP2

首先我們先將環境下載下來。 進入之後 ,發現一句話 Can you anthenticate to this website?大概就是在說,你能告訴我這個網站嗎?

攻防世界-web進階-Web_php_include

從程式碼中得知page中帶有php://的都會被替換成空 str_replace()以其他字元替換字串中的一些字元(區分大小寫)