index.php分析

index.php代码:

  1. <?php
  2. if (!isset($_GET["ctf"])) {
  3.     highlight_file(__FILE__);
  4.     die();
  5. }
  7. if(isset($_GET["ctf"]))
  8.     $ctf = $_GET["ctf"];
  10. if($ctf=="upload") {
  11.     if ($_FILES['postedFile']['size'] > 1024*512) {
  12.         die("这么大个的东西你是想d我吗?");
  13.     }
  14.     $imageinfo = getimagesize($_FILES['postedFile']['tmp_name']);
  15.     if ($imageinfo === FALSE) {
  16.         die("如果不能好好传图片的话就还是不要来打扰我了");
  17.     }
  18.     if ($imageinfo[0] !== 1 && $imageinfo[1] !== 1) {
  19.         die("东西不能方方正正的话就很讨厌");
  20.     }
  21.     $fileName=urldecode($_FILES['postedFile']['name']);
  22.     if(stristr($fileName,"c") || stristr($fileName,"i") || stristr($fileName,"h") || stristr($fileName,"ph")) {
  23.         die("有些东西让你传上去的话那可不得了");
  24.     }
  25.     $imagePath = "image/" . mb_strtolower($fileName);
  26.     if(move_uploaded_file($_FILES["postedFile"]["tmp_name"], $imagePath)) {
  27.         echo "upload success, image at $imagePath";
  28.     } else {
  29.         die("传都没有传上去");
  30.     }
  31. }

还扫到了一个example.php
当时做了半天,只知道先index传上去文件,然后example利用,但是不知道怎么绕过index的过滤,复现一波:

  1. 第一处判断

    1. if ($_FILES['postedFile']['size'] > 1024*512)

    不用管,放着就行,

  2. 第二处:

    1. $imageinfo = getimagesize($_FILES['postedFile']['tmp_name']);

    传一个图片马就绕过去了

  3. 第三处,就是卡在这里了

    1. if ($imageinfo[0] !== 1 && $imageinfo[1] !== 1)

    在文件头部加上XMB头

    1. #define width 1
    2. #define height 1

  4. 第四处,检测文件名

    1. if(stristr($fileName,"c") || stristr($fileName,"i") || stristr($fileName,"h") || stristr($fileName,"ph"))

    参考https://blog.rubiya.kr/index.php/2018/11/29/strtoupper/,某些字母经过mb_strtolower处理后等效普通字母。
    到此为止,index.php就分析完了,接着看example.php

    example.php分析

    ```php <?php if (!isset($GET[“ctf”])) { highlightfile(__FILE); die(); }

if(isset($_GET[“ctf”])) $ctf = $_GET[“ctf”];

if($ctf==”poc”) { $zip = new \ZipArchive(); $name_for_zip = “example/“ . $_POST[“file”]; if(explode(“.”,$name_for_zip)[count(explode(“.”,$name_for_zip))-1]!==”zip”) { die(“要不咱们再看看?”); } if ($zip->open($name_for_zip) !== TRUE) { die (“都不能解压呢”); }

  1. echo "可以解压,我想想存哪里";
  2. $pos_for_zip = "/tmp/example/" . md5($_SERVER["REMOTE_ADDR"]);
  3. $zip->extractTo($pos_for_zip);
  4. $zip->close();
  5. unlink($name_for_zip);
  6. $files = glob("$pos_for_zip/*");
  7. foreach($files as $file){
  8.     if (is_dir($file)) {
  9.         continue;
  10.     }
  11.     $first = imagecreatefrompng($file);
  12.     $size = min(imagesx($first), imagesy($first));
  13.     $second = imagecrop($first, ['x' => 0, 'y' => 0, 'width' => $size, 'height' => $size]);
  14.     if ($second !== FALSE) {
  15.         $final_name = pathinfo($file)["basename"];
  16.         imagepng($second, 'example/'.$final_name);
  17.         imagedestroy($second);
  18.     }
  19.     imagedestroy($first);
  20.     unlink($file);
  21. }

}

  1. example是解压压缩包的功能,再配合上上面的绕过字符检测,可以判断就是让上传一个压缩包,解压出来webshell。<br />除了上面两个if判断,下面还有一个`imagecreatefrompng`函数,这个绕过也很简单,使用脚本即可绕过:[https://github.com/huntergregal/PNG-IDAT-Payload-Generator](https://github.com/huntergregal/PNG-IDAT-Payload-Generator)。<br />运行脚本生成一个图片马,接着压缩,并且在文件尾加上:
  2. ```php
  4. #define width 1
  5. #define height 1

需要注意的是,添加在压缩包文件尾时,需要换行后添加,不然的话getimagesize绕过会失败。
接着上传时抓包,把i改为%C4%B0,来绕过最后的字符检测。
上传完之后,去example.php解压上传的压缩包,然后程序会调用imagecreatefrompng创建一个新文件到example目录下,并且这个脚本生成的图片马不会因为这个函数而乱码。
最后去example目录下执行命令读取flag。