2. 程式人生 > 實用技巧 >刷題[WUSTCTF2020]CV Maker

刷題[WUSTCTF2020]CV Maker

阿新 發佈:2020-08-02

解題思路

好傢伙,開啟一看像是cms,又看名字CV Maker。我以為直接要搜cve打了。搜了一會發現沒什麼啊。那先正常做把。

註冊

註冊成功後這裡報錯,猜測可能有注入點。先放在這裡,繼續登陸。發現是上傳頭像,那猜測可能有檔案上傳漏洞了

檔案上傳

exif_imagetype函式,很常見的了,判斷檔案頭是否是圖片。

那我先傳入一個圖片馬,上傳成功。但是發現無論是.htaccess,還是各種格式的都無法上傳成功,圖片馬也無法利用。

這時猜測是否能通過web應用程式解析漏洞繞過。報錯網頁,發現是apache

由於apache在解析檔名的時候是從右向左讀,如果遇到不能識別的副檔名則跳過,jpg等副檔名是apache不能識別的,

因此如果一個檔名為1.php.gif。就會直接將型別識別為php,從而達到了注入php程式碼的目的

但是這裡又無法上傳成功,很奇怪。這裡測試了一會,發現反著利用就可以了,上傳1.jpg.php

看圖片連結,發現上傳路徑/uploads。然後最奇特的一點,jpg好像被過濾成空了,直接是php檔案了。那就直接利用。蟻劍連線,在根目錄下找到flag

程式碼審計

這裡本該是完了,但是我想看看是如何過濾的,找到profile.php,貼下程式碼

<?php
			function isImage($filename){
			    $image_type = exif_imagetype($filename);
			    switch ($image_type) {
			        case IMAGETYPE_GIF:
			            return "gif";
			            break;
			        case IMAGETYPE_JPEG:
			            return "jpg";
			            break;
			        case IMAGETYPE_PNG:
			            return "png";
			            break;
			        default:
			            return false;
			            break;
			    }
			}
			if (isset($_POST['submit'])) {
				$temp_file = $_FILES['upload_file']['tmp_name'];
				if (isImage($temp_file)) {
					$name = $_FILES['upload_file']['name'];
					$ext = substr(strrchr($name, '.'), 1);
				    $img_path = 'uploads/'.md5($_COOKIE["_Hz"]).'.'.$ext;
				    $fn = "uploads/".md5($_COOKIE["_Hz"]).".*";
				    if (glob($fn)) {
				    	$ffn = glob($fn)[0];
				    	unlink($ffn);
				    }
				    if (move_uploaded_file($temp_file, $img_path)){
				        $is_upload = true;
				    } else {
				        $msg = '上傳出錯!';
				    }
				    if ($is_upload) {
				    	echo '<div class="cc-profile-image"><a href="#"><img src="'.$img_path.'" alt="Image"/></a></div></br>';
				    }else{
				    	echo '<div class="h2 title">'.$msg.'</div>';
				    }
				}else{
					echo '<div class="h3 title">exif_imagetype not image!</div>';
				}
			}else{
				$fn = "uploads/".md5($_COOKIE["_Hz"]).".*";
				if (glob($fn)) {
					echo '<div class="cc-profile-image"><a href="#"><img src="'.glob($fn)[0].'" alt="Image"/></a></div></br>';
				}else{
					echo '<div class="cc-profile-image"><a href="#"><img src="images/anthony.jpg" alt="Image"/></a></div></br>';
				}

			}
		?>

誒,這麼看並沒有過濾檔名替換為空。我想的那種情況,那是怎麼回事呢。我重新上傳一個單純的php檔案,這裡思考了一下,直接把GIF89a,加在一句話前面,沒有換行。。。。。。

成功了,好吧,之前沒有把檔案頭和一句話放在一行中,沒想到這導致無法利用。

這題挺簡單的啊,就是不要被buu上的分數,還有打開發現可能是cve復現嚇到了就行

總結思路

  • 檔案上傳bypass

知識點

  • 檔案上傳

相關推薦

[WUSTCTF2020]CV Maker

解題思路 好傢伙,開啟一看像是cms,又看名字CV Maker。我以為直接要搜cve打了。搜了一會發現沒什麼啊。那先正常做把。

[WUSTCTF2020]樸實無華

解題思路 開啟是一個這樣的頁面,檢視原始碼發現什麼人間極樂bot,試試是不是robots.txt,檢視發現類似flag檔案,檢視發現是假的flag,但是burp抓包後發現,返回的頭部有資訊

Python使用docx模組實現功能程式碼

起由: 前一陣子想要國二Python的庫,千方百計找到庫之後,開啟一個個word文件,發現一閱讀很麻煩,而且答案就在題目的下面,閱讀題目的時候想自己做出題目卻又總能不經意看到答案,甚煩!遂開始敲程

LeetCode力扣資料庫(183):從不訂購的客戶

文章目錄題目分析1.檢視customers表2.檢視orders表3.檢視訂單表中下單了的客戶id--cunstomersid4.過濾出顧客表中的id不在訂單表中的顧客資訊5.將過濾出的那些沒有下過單的顧客選擇出我們題目結果需要的列並改變列

-資料庫

給定一個 Weather 表,編寫一個 SQL 查詢,來查詢與之前(昨天的)日期相比溫度更高的所有日期的 Id。

vscode中配置LeetCode外掛的教程(愉快)

大家好,今早在B站看到up主的vscode裡藏了leetcode外掛,這才知道原來還有這款神器。但是沒想到在用的時候遇到了一些麻煩,花了一點時間才解決。所以寫這篇文章除了給大家安利這個好用的外掛之外,也是為了幫助更多的

LEETCODE 替換空格

#include<stdio.h> #include<stdlib.h> #include<string.h> void replaceBlank(char string[],int len)

leetcode筆記四十六 全排列

leetcode筆記四十六 全排列 源地址:46. 全排列 問題描述: 給定一個 沒有重複 數字的序列,返回其所有可能的全排列。

leetcode筆記五十三 最大子序和

leetcode筆記五十三 最大子序和 源地址:53. 最大子序和 問題描述: 給定一個整數陣列 nums ,找到一個具有最大和的連續子陣列(子陣列最少包含一個元素),返回其最大和。

leetcode筆記五十四 螺旋矩陣

leetcode筆記五十四 螺旋矩陣 源地址:54. 螺旋矩陣 問題描述: 給定一個包含 m x n 個元素的矩陣(m 行, n 列),請按照順時針螺旋順序,返回矩陣中的所有元素。

2020.7.10

3. 無重複字元的最長子串 第一次程式碼空間複雜度大: public class Solution { public int lengthOfLongestSubstring(String s) {

leetcode筆記五十八 最後一個單詞的長度

leetcode筆記五十八 最後一個單詞的長度 源地址:58. 最後一個單詞的長度 問題描述:

-LeetCode】165 Compare Version Numbers

Compare Version Numbers Compare two version numbers version1 and version2. If *version1* > *version2* return 1; if *version1* < *version2* return -1;otherwise return 0.

-LeetCode】179 Largest Number

Largest Number Given a list of non negative integers, arrange them such that they form the largest number.

-LeetCode】122 Best Time to Buy and Sell Stock II

Best Time to Buy and Sell Stock II Say you have an array for which the ith element is the price of a given stock on day i.

-LeetCode】123 Best Time to Buy and Sell Stock III

Best Time to Buy and Sell Stock III Say you have an array for which the ith element is the price of a given stock on day i.

buuoj 記錄(一)

目錄buuoj 記錄(一)[網鼎杯 2020 朱雀組]phpweb buuoj 記錄(一) [網鼎杯 2020 朱雀組]phpweb

2020.7.14

120. 三角形最小路徑和 動態規劃,自底向上 dp[i][j] :表示從i, j到底邊的最小距離

-LeetCode】191 Number of 1 Bits

Number of 1 Bits Write a function that takes an unsigned integer and return the number of \'1\' bits it has (also known as the Hamming weight).

-LeetCode】199 Binary Tree Right Side View

Binary Tree Right Side View Given a binary tree, imagine yourself standing on the right side of it, return the values of the nodes you can see ordered from top to bottom.