[RoarCTF 2019]Simple Upload
[RoarCTF 2019]Simple Upload
考点
ThinkPHP Upload类审计
利用逻辑错误绕过正则黑名单
wp
<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller
{
public function index()
{
show_source(__FILE__);
}
public function upload()
{
$uploadFile = $_FILES['file'] ;
if (strstr(strtolower($uploadFile['name']), ".php") ) {
return false;
}
$upload = new \Think\Upload();// 实例化上传类
$upload->maxSize = 4096 ;// 设置附件上传大小
$upload->allowExts = array('jpg', 'gif', 'png', 'jpeg');// 设置附件上传类型
$upload->rootPath = './Public/Uploads/';// 设置附件上传目录
$upload->savePath = '';// 设置附件上传子目录
$info = $upload->upload() ;
if(!$info) {// 上传错误提示错误信息
$this->error($upload->getError());
return;
}else{// 上传成功 获取上传文件信息
$url = __ROOT__.substr($upload->rootPath,1).$info['file']['savepath'].$info['file']['savename'] ;
echo json_encode(array("url"=>$url,"success"=>1));
}
}
} ThinkPHP的框架,版本为3.2.4,默认上传地址为/home/index/upload,路径为http://4031f467-bc7e-4af0-bcb0-14c3faf9f202.node4.buuoj.cn:81/index.php/home/index/upload
没有给上传的form,用Python脚本写一下上传的POST包
返回了上传的信息
找一下源码,Upload类的位置是ThinkPHP/Library/Think/Upload.class.php。看了一下,题目中定义的那些属性没有任何作用,因为根本没有传到Upload类的方法中。按照Upload类中对上传文件的限制是放在config属性中,本题则直接当做了Upload类的属性
这里有两种做法,一个是绕过后缀限制,一个是条件竞争
第一种做法
绕过后缀限制
传入的文件名在处理的时候会经过strip_tags处理,它会剥去字符串中的 HTML、XML 以及 PHP 的标签,所以只要文件名为a.<>php 就可以绕过
把上传脚本的file1赋值改成file1 = {'file': ('a.<>php','<?php eval($_GET["cmd"])?>')}
访问即可。
第二种做法
条件竞争
ThinkPHP里的upload()函数在不传参的情况下是批量上传的,处理方式
$uploadFile['name']是个数组时就可以绕过了。并且ThinkPHP对上传文件命名是用uniqid() 这个伪随机函数,在上传之后可以爆破得到shell地址
返回结果
爆破脚本
小结
ThinkPHP的3.2.4,默认上传地址为/home/index/upload,路径为http://ip/index.php/home/index/upload
使用request上传文件
Upload类传入的文件名在处理的时候会经过strip_tags处理
ThinkPHP里的Upload->upload()函数在不传参的情况下是批量上传的
ThinkPHP对上传文件命名是用
uniqid()这个伪随机函数
最后更新于