本文共 2354 字，大约阅读时间需要 7 分钟。

Web文件上传漏洞

声明

好好向大佬们学习！！！

攻击

文件上传漏洞

摘自

https://book.nu1l.com/tasks/#/

使用BUUCTF在线环境

https://buuoj.cn/challenges

访问

http://3e8b5e24-d936-4a8f-9d1b-15ee36321db8.node3.buuoj.cn

一个上传文件功能，随便点点看，点到了提交查询，发现只能上传zip、jpg、gif、png，看看怎么绕过过滤上传

我的文件上传本来就薄弱，这个题也确实很打击我

上来一看是上传，而且只能图片，什么图片马，各种content-type绕过，十六进制编码绕过，在脑海中闪过，但是唯独这个zip格格不入，这不是明摆了和书中的上传zip，利用zip解压，最后解析有点类似吗，所以果断放弃了前面的想法，但是由于本身也比较菜还是参考了大佬的博客

https://blog.csdn.net/rfrder/article/details/108930033

由于上传功能比较特殊，不是光绕过上传检测就完了，还需要知道上传到哪了，如何解析，还涉及路径穿越解析，所以环境需要我们可操控，我们就自己用docker搭建环境吧，就不用了BUUCTF的环境了

docker搭建

vim docker-compose.yml

内容如下

version: '3.2'services:  upload:    image: registry.cn-hangzhou.aliyuncs.com/n1book/web-upload:latest    ports:      - 80:80

执行

docker-compose up -d

为什么在BUUCTF开的没有源码

访问docker搭建的80端口

http://192.168.137.144

可以看到，浏览器往下拉是有源码的，先看看源码，反正我比较菜，源码中我把HTML都省略了

   listContent() as $value){                $filename = $value["filename"];//一段较为简单的正则，就是匹配每个文件结尾的位置，是否是.php                                if(preg_match('/\.php$/', $filename)){                     exit("压缩包内不允许含有php文件!");                 }            }            if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {                check_dir($dir);                   exit("解压失败");            }            check_dir($dir);            exit('上传成功!');        }else{            move_uploaded_file($file['tmp_name'], $temp_dir.'/'.$file['name']);            check_dir($dir);            exit('上传成功!');        }    }else{        exit('仅允许上传zip、jpg、gif、png文件!');    }}

其实看了一下代码，大致是了解了，正如书上所说，需要将php文件达成zip包，然后，绕过路经检测，通过路径穿越将文件放到指定目录，然后访问

由于我们上传的路径目录是upload/随机值/上传的文件，这一点再验证一下，我们随便上传一张图片，进入docker看一下

所以我们要穿越两层，直到根目录下，一层随机目录，一层upload

所以需要文件名为/…/…/file.php，由于需要构造解析，利用apache的解析漏洞，如果从右开始，直到哪个能识别就解析哪个，构造最终文件名为/…/…/zzz.php.zzz，这个文件名长度为18位

windows操作系统下，右键创建文件，文件名随便写一个18位的（跟刚刚的文件名位数一样），这里是把后缀涵盖的，例如

123456789012345678

然后我用的WinRar，右键添加到zip

接下来就开始用010 Editor进行zip文件的编辑

010 Editor软件怎么下载？怎么破解？官网？破解教程？

NONONO，这里疯狂安利乌云安全公众号，感谢大佬的整理，大佬把CTF常用的工具都整到百度网盘了

乌云安全公众号大佬，访问下面这个找下载链接

https://mp.weixin.qq.com/s/WotJoG57CVGQ-mFqn2_cCQ

下载完之后，直接双击打开

左上角文件，打开刚刚那个zip

打开后重点关注下方的面板，看值那一列就是我们的文件名123456789012345678，选Start不为0h的那个，我这是30h

注意deFileName[18]，现在的值是123456789012345678

修改为/…/…/zzz.php.zzz，ctrl+s保存

上传这个zip

docker里面皮一下，看一下，已经上传到根目录了

利用apache的文件解析漏洞，访问这个php，拿到flag

http://192.168.137.144/zzz.php.zzz

n1book{ThisIsUpLoadToPicfl4g}

转载地址：https://blog.csdn.net/zy15667076526/article/details/114139749 如侵犯您的版权，请留言回复原文章的地址，我们会给您删除此文章，给您带来不便请您谅解！