启动场景
发现是文件上传
只能上传图像,不能上传PHP文件,那应该是寻找漏洞上传PHP文件
PHP文件里写入一句话木马
使用burp抓包,不断尝试发现发现需要修改的地方有三个:
一个是http head里的Content-Type: multipart/form-data;
请求头部的 Content-Type 内容 随便改个大写字母过滤掉 比如 mulTipart/form-data (其t为大写)
Multipart里的部分字母改成大写的。
第二个是文件的的Content-Type: application/octet-stream,改成image/jpeg
第三个是文件后缀名改成php4
(依次尝试php4,phtml,phtm,phps,php5(包括一些字母改变大小写))分别将后缀名修改为php2, php3, php4, php5, phps, pht, phtm, phtml(php的别名),发现只有php4没有被过滤
之后上传成功
关闭代理,浏览器显示文件路径
以菜刀连接:
进入服务器后台,在根目录发现flag
打开flag
得到flag
后来有大佬教了我做事,说都上了马了自己不会扒来看嘛,哇我真的是蠢,这都没想到,直接血的教训记了下来,并扒了源码分析:
参考源码.php文件
<html>
<body>
<?php
$flag = "flag{test}"
?>
<form action="index.php" method="post" enctype="multipart/form-data">
My name is margin,give me a image file not a php<br>
<br>
<input type="file" name="file" id="file" />
<input type="submit" name="submit" value="Submit" />
</form>
<?php
function global_filter(){$type = $_SERVER["CONTENT_TYPE"];//$_SERVER是一个服务器端的变量数组,提供许多关于服务器及客户端请求的变量值,像客户端浏览器类型、IP地址等if (strpos($type,"multipart/form-data") !== False){//strpos() 函数查找字符串在另一字符串里第一次出现的位置。strpos() 函数对大小写敏感。$file_ext = substr($_FILES["file"]["name"], strrpos($_FILES["file"]["name"], '.')+1);//strrpos()查找字符串在另一字符串最后一次出现位置$file_ext = strtolower($file_ext); //strtolower() 函数把字符串转换为小写。if (stripos($file_ext,"php") !== False){American("Invalid File<br />");}}
}
//这里判断multipart/form-data用了strpos,该函数区分大小写,所以用Multipart/form-data的理由找到了,这样就能绕过里面的if
?><?phpglobal_filter();
if ((stripos($_FILES["file"]["type"],'image')!== False) && ($_FILES["file"]["size"] < 10*1024*1024)){if ($_FILES["file"]["error"] == 0){$file_ext = substr($_FILES["file"]["name"], strrpos($_FILES["file"]["name"], '.')+1);$file_ext = strtolower($file_ext);$allowexts = array('jpg','gif','jpeg','bmp','php4'); //array() 创建数组if(!in_array($file_ext,$allowexts)){American("give me a image file not a php");}//这里定了个白名单,只漏了个php4出来,只能用php4的原因也找到了$_FILES["file"]["name"]="bugku".date('dHis')."_".rand(1000,9999).".".$file_ext; //rand() 函数返回随机整数。//date() 函数格式操作本地日期和时间,并返回已格式操作的日期字符串。if (file_exists("upload/" . $_FILES["file"]["name"])){ //file_exists() 函数检查文件或目录是否存在。echo $_FILES["file"]["name"] . " already exists. <br />";}else{if (!file_exists('./upload/')){mkdir ("./upload/");system("chmod 777 /var/www/html/upload"); //system — 执行外部程序,并且显示输出}move_uploaded_file($_FILES["file"]["tmp_name"],"upload/" . $_FILES["file"]["name"]);//move_uploaded_file — 将上传的文件移动到新位置echo "Upload Success<br>";$filepath = "upload/" . $_FILES["file"]["name"];echo "Stored in: " ."< a href='" . $filepath . "' target='_blank'>" . $filepath . "<br />";}}
}
else{if($_FILES["file"]["size"] > 0){echo "You was catched! :) <br />";}
}
?>
</body>
</html><?php
/*
$_SERVER是一个服务器端的变量数组,提供许多关于服务器及客户端请求的变量值,像客户端浏览器类型、IP地址等
通过 print_r($_SERVER)可以输出其里包含了那些内容strpos() 函数查找字符串在另一字符串里第一次出现的位置。strpos() 函数对大小写敏感。
strrpos() - 查找字符串在另一字符串里最后一次出现的位置(区分大小写)
例如:echo strrpos("You love php, I love php too!","php"); 结果返回21$_FILES -- $HTTP_POST_FILES [已弃用] — HTTP 文件上传变量
PHP $_FILES 是一个预定义的数组,用来获取通过 POST 方法上传文件的相关信息。如果为单个文件上传,那么 $_FILES 为二维数组;如果为多个文件上传,那么 $_FILES 为三维数组。
$_FILES['myFile']['name'] 客户端文件的原名称。
$_FILES['myFile']['type'] 文件的 MIME 类型,需要浏览器提供该信息的支持,例如"image/gif"。
$_FILES['myFile']['size'] 已上传文件的大小,单位为字节。
$_FILES['myFile']['tmp_name'] 文件被上传后在服务端储存的临时文件名,一般是系统默认。可以在php.ini的upload_tmp_dir 指定,但 用 putenv() 函数设置是不起作用的。
$_FILES['myFile']['error'] 和该文件上传相关的错误代码。['error'] 是在 PHP 4.2.0 版本里增加的。下面是它的说明:(它们在PHP3.0以后成了常量)
UPLOAD_ERR_OK
值:0; 没有错误发生,文件上传成功。 strtolower() 函数把字符串转换为小写。date() 函数格式操作本地日期和时间,并返回已格式操作的日期字符串。rand() 函数返回随机整数。file_exists() 函数检查文件或目录是否存在。
如果指定的文件或目录存在则返回 true,否则返回 false。system — 执行外部程序,并且显示输出move_uploaded_file — 将上传的文件移动到新位置
*/
?>
