• 练习 5 Web [GXYCTF2019]BabyUpload


    [GXYCTF2019]BabyUpload

    1. 猜测直接上传txt会被过滤,提示“上传类型也太露骨了吧!”
    2. 按经验传入一个"muma.phtml"
      提示过滤了“ph”相关的后缀
      在这里插入图片描述
    3. 传入muma.jpg等图像格式,提示表明复原并检测了文件内容
      在这里插入图片描述

    审查文件后缀Context-type 不能有ph,image/jpeg可以
    审查文件内容 不能是php
    黑名单过滤

    查阅wp,需要利用 .htaccess文件解析漏洞,并参考以下博客内容:

    说人话就是,它可以把同目录下指定的某类后缀的文件解析成php代码执行.
    原理:.htaccess文件(或者"分布式配置文件"),全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。
    漏洞复现篇——.htaccess文件解析漏洞

    逻辑上先传一个.htaccess文件(指定jpg格式被解析为php代码执行)上去,试试会不会被过滤
    如果成功,再传一个修改为php后缀的木马文件,尝试通过木马控制
    如果失败,需要寻找其他方法

    <FilesMatch "muma.jpg">
    SetHandler application/x-httpd-php   #在当前目录下,如果匹配到muma.jpg文件,则被解析成PHP代码执行
    AddHandler php5-script .jpg         #在当前目录下,如果匹配到muma.jpg文件,则被解析成PHP代码执行
    </FilesMatch>
    
    • 1
    • 2
    • 3
    • 4

    文件名也被过滤了?修改文件名重新尝试
    在这里插入图片描述
    在这里插入图片描述

    还是不行,参考多篇博文,注意php版本

    更改语法格式,绕过以检测

    —— < script language=“php”>< /script >

    重新开始,上传.htaccess文件,必须要修改Content-Type: 为image/jpeg
    在这里插入图片描述
    在这里插入图片描述
    参考博文:https://blog.csdn.net/RABCDXB/article/details/114297306

    上传muma.jpg,成功
    在这里插入图片描述
    打开AntSword,连接木马
    失败

    重置靶机,修改木马文件后缀为png尝试(同样必须改Context-Type:image/png 为 image/jpeg)
    成功连上
    在根目录找到flag:flag{0e953d11-d228-4853-bca6-a7f86032756a}
    在这里插入图片描述在这里插入图片描述
    本篇总结:

    1. 一句话木马的变形,以绕过某些形式上的(例如对)php内容检测
    2. 什么情况下可以利用web服务器.htaccess文件解析漏洞?
  • 相关阅读:
    【Linux】NTP时间服务器Chrony配置详解
    leetcode_208 实现Trie(前缀树)
    问题:在额定电压500V以下的电路中,使用的各种用电设备,一般称为(_ _ _)用电设备 #媒体#媒体#媒体
    MySQL索引详解
    组合学笔记(六)局部有限偏序集的关联代数,Möbius反演公式
    Win32 命名管道
    js创建与使用对象、json的解析
    Redis夺命十二问,你能扛到第几问?
    android 以太网ip设置
    世界第一台通用计算机:ENIAC
  • 原文地址:https://blog.csdn.net/qq_42212961/article/details/136490628