姿势
题目描述:一名合格的黑客眼中,所有的上传点都是开发者留下的后门
![[CTF/网络安全]攻防世界 easyupload 解题详析,网络安全,# CTF赛题,# 文件上传漏洞,web安全,安全,CTF,文件上传,网络安全](https://imgs.yssmx.com/Uploads/2023/10/715381-1.png)
惯例,上传一句话木马
![[CTF/网络安全]攻防世界 easyupload 解题详析,网络安全,# CTF赛题,# 文件上传漏洞,web安全,安全,CTF,文件上传,网络安全](https://imgs.yssmx.com/Uploads/2023/10/715381-2.png)
回显如下:
![[CTF/网络安全]攻防世界 easyupload 解题详析,网络安全,# CTF赛题,# 文件上传漏洞,web安全,安全,CTF,文件上传,网络安全](https://imgs.yssmx.com/Uploads/2023/10/715381-3.png)
也就是说文件被过滤
抓包改后缀,.php1~.php9、.htaccess均被过滤(.htaccess 文件是一个用于配置 Apache Web 服务器的配置文件。它通常位于网站根目录或特定目录中,用来为该目录及其子目录提供特定的配置指令):
![[CTF/网络安全]攻防世界 easyupload 解题详析,网络安全,# CTF赛题,# 文件上传漏洞,web安全,安全,CTF,文件上传,网络安全](https://imgs.yssmx.com/Uploads/2023/10/715381-4.png)
由于后端逻辑验证多为php文件实现,故可使用fastcgi的.user.ini特性进行任意命令执行。
.user.ini文件是php.ini的补充文件,当网页访问的时候就会自动查看当前目录下是否有.user.ini,然后将其补充进php.ini,并作为cgi的启动项。其中很多功能设置了只能php.ini配置,但是还是有一些危险的功能可以被我们控制,比如auto_prepend_file。
auto_prepend_file 是 PHP 配置选项之一,用于指定一个在每个 PHP 脚本执行前自动包含的文件。
当 auto_prepend_file 配置启用后,PHP 在执行每个脚本之前会自动将指定的文件包含进来,作为脚本的一部分。这个文件可以包含一些通用的代码、函数、类或初始化操作,以便在每个脚本中都能自动执行。
因此,我们可以传入.user.ini文件,通过auto_prepend_file将含有一句话木马的文件名称包含到每个文件中。然后再上传该文件
步骤如下:
![[CTF/网络安全]攻防世界 easyupload 解题详析,网络安全,# CTF赛题,# 文件上传漏洞,web安全,安全,CTF,文件上传,网络安全](https://imgs.yssmx.com/Uploads/2023/10/715381-5.png)
由于内容为qiu.jpg,故抓包后要将Content-Type(内容类型)由application/octet-stream改为image/jpg
![[CTF/网络安全]攻防世界 easyupload 解题详析,网络安全,# CTF赛题,# 文件上传漏洞,web安全,安全,CTF,文件上传,网络安全](https://imgs.yssmx.com/Uploads/2023/10/715381-6.png)
放包,回显说明文件名称不对
因此重新抓包,添加图片头GIF89a
![[CTF/网络安全]攻防世界 easyupload 解题详析,网络安全,# CTF赛题,# 文件上传漏洞,web安全,安全,CTF,文件上传,网络安全](https://imgs.yssmx.com/Uploads/2023/10/715381-7.png)
放包,回显文件上传成功:
![[CTF/网络安全]攻防世界 easyupload 解题详析,网络安全,# CTF赛题,# 文件上传漏洞,web安全,安全,CTF,文件上传,网络安全](https://imgs.yssmx.com/Uploads/2023/10/715381-8.png)
接着新建qiu.jpg,内容如下:
![[CTF/网络安全]攻防世界 easyupload 解题详析,网络安全,# CTF赛题,# 文件上传漏洞,web安全,安全,CTF,文件上传,网络安全](https://imgs.yssmx.com/Uploads/2023/10/715381-9.png)
直接上传即可:
![[CTF/网络安全]攻防世界 easyupload 解题详析,网络安全,# CTF赛题,# 文件上传漏洞,web安全,安全,CTF,文件上传,网络安全](https://imgs.yssmx.com/Uploads/2023/10/715381-10.png)
查看文件上传路径:
![[CTF/网络安全]攻防世界 easyupload 解题详析,网络安全,# CTF赛题,# 文件上传漏洞,web安全,安全,CTF,文件上传,网络安全](https://imgs.yssmx.com/Uploads/2023/10/715381-11.png)
自此,整个文件上传流程已完成,在执行脚本之前,程序都会执行.user.ini文件,从而包含qiu.jpg,而qiu.jpg中含有一句话木马,故我们可以使用蚁剑连接根目录。
![[CTF/网络安全]攻防世界 easyupload 解题详析,网络安全,# CTF赛题,# 文件上传漏洞,web安全,安全,CTF,文件上传,网络安全](https://imgs.yssmx.com/Uploads/2023/10/715381-12.png)
得到flag:
![[CTF/网络安全]攻防世界 easyupload 解题详析,网络安全,# CTF赛题,# 文件上传漏洞,web安全,安全,CTF,文件上传,网络安全](https://imgs.yssmx.com/Uploads/2023/10/715381-13.png)
总结
以上为 [CTF/网络安全] 攻防世界 easyupload 解题详析,考察文件上传及相关知识点,读者可躬身实践。
提示:只要是运用了fastcgi的服务器都能够利用该方式getshell,不论是apache或者ngnix或是其他服务器。文章来源:https://www.toymoban.com/news/detail-715381.html
我是秋说,我们下次见。文章来源地址https://www.toymoban.com/news/detail-715381.html
到了这里,关于[CTF/网络安全]攻防世界 easyupload 解题详析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![[CTF/网络安全] 攻防世界 php_rce 解题详析](https://imgs.yssmx.com/Uploads/2024/02/739818-1.png)
![[CTF/网络安全] 攻防世界 command_execution 解题详析](https://imgs.yssmx.com/Uploads/2024/02/734928-1.png)
![[CTF/网络安全] 攻防世界 view_source 解题详析](https://imgs.yssmx.com/Uploads/2024/02/646027-1.png)
![[CTF/网络安全] 攻防世界 simple_php 解题详析](https://imgs.yssmx.com/Uploads/2024/02/645947-1.png)
![[CTF/网络安全] 攻防世界 weak_auth 解题详析](https://imgs.yssmx.com/Uploads/2024/02/643339-1.png)
![[CTF/网络安全] 攻防世界 fileinclude 解题详析(php伪协议)](https://imgs.yssmx.com/Uploads/2024/02/730130-1.png)
![[CTF/网络安全] 攻防世界 disabled_button 解题详析](https://imgs.yssmx.com/Uploads/2024/02/731421-1.png)
![[CTF/网络安全] 攻防世界 file_include 解题详析(php伪协议+convert转换过滤器)](https://imgs.yssmx.com/Uploads/2024/02/727616-1.png)
![[CTF/网络安全] 攻防世界 Web_php_include 解题详析(php伪协议、data伪协议、file伪协议)](https://imgs.yssmx.com/Uploads/2024/02/715849-1.png)
![[CSAW/网络安全] Git泄露+命令执行 攻防世界 mfw 解题详析](https://imgs.yssmx.com/Uploads/2024/02/740658-1.png)
