upload-labs16题的扩展
之前的文章中,在upload-labs的第十六题中考察了二次渲染的绕过,这对我们理解三种图片结构有很大的帮助,所以我就根据之前的那篇文章中的链接文章进行复现,后面的两个都有脚本可直接实现,所以不做复现了。
首先是最简单的gif图片。
我们先上传最原始的gif图片马,是将php一句话放在文件最末尾的。
然后直接上传,会发现上传到服务器后二次渲染的新图片将php一句话删除掉了。
然后我们检查一下两个文件有没有什么地方是没有被修改的。发现从第二行到蓝色标记最后都是没有被修改的部分。
那只要我们将数据写在这部分之中,就可以绕过二次渲染了。
果然没有被修改,将这个上传就可以了。
然后是png图片,这种图片格式有两种写入方法,一种是写入 PLTE数据块,还有一种是写入IDAT数据块。那我们就要先了解一下png图片的文件结构。
png文件组成
png图片由3个以上的数据块组成.
PNG定义了两种类型的数据块,一种是称为关键数据块(critical chunk),这是标准的数据块,另一种叫做辅助数据块(ancillary chunks),这是可选的数据块。关键数据块定义了3个标准数据块(IHDR,IDAT, IEND),每个PNG文件都必须包含它们。
数据块结构
PNG文件中,每个数据块由4个部分组成,如下:
| 名称 |
字节数 |
说明 |
| Length (长度) |
4字节 |
指定数据块中数据域的长度,其长度不超过(231-1)字节 |
| Chunk Type Code (数据块类型码) |
4字节 |
数据块类型码由ASCII字母(A-Z和a-z)组成 |
| Chunk Data (数据块数据) |
可变长度 |
存储按照Chunk Type Code指定的数据 |
| CRC (循环冗余检测) |
4字节 |
存储用来检测是否有错误的循环冗余码 |
CRC(cyclic redundancy check)域中的值是对Chunk Type Code域和Chunk Data域中的数据进行计算得到的。CRC具体算法定义在ISO 3309和ITU-T V.42中,其值按下面的CRC码生成多项式进行计算:
x32+x26+x23+x22+x16+x12+x11+x10+x8+x7+x5+x4+x2+x+1
CRC: 一种校验算法。仅仅用来校验数据的正确性的
下面,我们依次来了解一下各个关键数据块的结构吧。
IHDR
文件头数据块IHDR(header chunk):它包含有PNG文件中存储的图像数据的基本信息,并要作为第一个数据块出现在PNG数据流中,而且一个PNG数据流中只能有一个文件头数据块。
文件头数据块由13字节组成,它的格式如下表所示。
| 域的名称 |
字节数 |
说明 |
| Width |
4 bytes |
图像宽度,以像素为单位 |
| Height |
4 bytes |
图像高度,以像素为单位 |
| Bit depth |
1 byte |
图像深度: |
| ColorType |
1 byte |
颜色类型: |
| Compression method |
1 byte |
压缩方法(LZ77派生算法) |
| Filter method |
1 byte |
滤波器方法 |
| Interlace method |
1 byte |
隔行扫描方法: |
PLTE
调色板数据块PLTE(palette chunk)包含有与索引彩色图像(indexed-color image)相关的彩色变换数据,它仅与索引彩色图像有关,而且要放在图像数据块(image data chunk)之前。
PLTE数据块是定义图像的调色板信息,PLTE可以包含1~256个调色板信息,每一个调色板信息由3个字节组成:
| 颜色 |
字节 |
意义 |
| Red |
1 byte |
0 = 黑色, 255 = 红 |
| Green |
1 byte |
0 = 黑色, 255 = 绿色 |
| Blue |
1 byte |
0 = 黑色, 255 = 蓝色 |
因此,调色板的长度应该是3的倍数,否则,这将是一个非法的调色板。
对于索引图像,调色板信息是必须的,调色板的颜色索引从0开始编号,然后是1、2……,调色板的颜色数不能超过色深中规定的颜色数(如图像色深为4的时候,调色板中的颜色数不可以超过2^4=16),否则,这将导致PNG图像不合法。
真彩色图像和带alpha通道数据的真彩色图像也可以有调色板数据块,目的是便于非真彩色显示程序用它来量化图像数据,从而显示该图像。
IDAT
图像数据块IDAT(image data chunk):它存储实际的数据,在数据流中可包含多个连续顺序的图像数据块。
IDAT存放着图像真正的数据信息,因此,如果能够了解IDAT的结构,我们就可以很方便的生成PNG图像。
IEND
图像结束数据IEND(image trailer chunk):它用来标记PNG文件或者数据流已经结束,并且必须要放在文件的尾部。
如果我们仔细观察PNG文件,我们会发现,文件的结尾12个字符看起来总应该是这样的:
00 00 00 00 49 45 4E 44 AE 42 60 82
不难明白,由于数据块结构的定义,IEND数据块的长度总是0(00 00 00 00,除非人为加入信息),数据标识总是IEND(49 45 4E 44),因此,CRC码也总是AE 42 60 82。
一、写入PLTE数据块
PLTE数据块是辅助数据块,不是所有png图片都必须的,所以我并没有找到有这个数据块的png图片。。。所以我就直接拿之前介绍的那篇文章:https://xz.aliyun.com/t/2657中的图片吧。。。
既然写进了PLTE数据块,那么说明数据库最后的CRC校验码也要修改,
计算CRC的脚本为
import binascii
import re
png = open(r'2.png','rb')
a = png.read()
png.close()
hexstr = binascii.b2a_hex(a)
''' PLTE crc '''
data = '504c5445'+ re.findall('504c5445(.*?)49444154',hexstr)[0]
#正则匹配到php一句话
crc = binascii.crc32(data[:-16].decode('hex')) & 0xffffffff
#切片到倒数第十六个字符是因为最后十六个字符是八个原来的CRC校验码+八个IDAT的数据
print hex(crc)将计算出的CRC校验码修改,然后上传就可以了