[网安中国行](web)大美龙江

根据对网站功能的审计 , 发现存在 downfile.php
这里是可以下载一个图片的
通过 fuzz 测试之后 , 发现这里存在注入 , 可以读取任意 php 文件
截图如下
根据对网站功能的审计 , 发现存在 downfile.php
这里是可以下载一个图片的
通过 fuzz 测试之后 , 发现这里存在注入 , 可以读取任意 php 文件
截图如下

[网安中国行](web)大美龙江_第1张图片
image.png

通过读取 downfile.php
得到 :



0) { echo "
uplpad file error!:".$_FILES["file"]["error"]."
"; die(); } $fileTypeCheck = ((($_FILES["file"]["type"] == "image/gif") || ($_FILES["file"]["type"] == "image/jpeg") || ($_FILES["file"]["type"] == "image/pjpeg") || ($_FILES["file"]["type"] == "image/png")) && ($_FILES["file"]["size"] < 204800)); $reg='/^gif|jpg|jpeg|png$/'; $fileExtensionCheck=!preg_match($reg,pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION)); if($fileExtensionCheck){ die("Only upload image file!"); } if($fileTypeCheck){ $fileOldName = addslashes(pathinfo($_FILES['file']['name'],PATHINFO_FILENAME)); $fileNewName = './Up10aDs/' . random_str() .'.'.pathinfo($_FILES['file']['name'],PATHINFO_EXTENSION); $userid = $_SESSION['userid']; $sql= "insert into `download` (`uid`,`image_name`,`location`) values ($userid,'$fileOldName','$fileNewName')"; $res = $conn ->query($sql); if($res&&move_uploaded_file($_FILES['file']['tmp_name'], $fileNewName)){ echo ""; }else{ echo ""; } }else{ echo ""; } } ?>

upload.php



0) { echo "
uplpad file error!:".$_FILES["file"]["error"]."
"; die(); } $fileTypeCheck = ((($_FILES["file"]["type"] == "image/gif") || ($_FILES["file"]["type"] == "image/jpeg") || ($_FILES["file"]["type"] == "image/pjpeg") || ($_FILES["file"]["type"] == "image/png")) && ($_FILES["file"]["size"] < 204800)); $reg='/^gif|jpg|jpeg|png$/'; $fileExtensionCheck=!preg_match($reg,pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION)); if($fileExtensionCheck){ die("Only upload image file!"); } if($fileTypeCheck){ $fileOldName = addslashes(pathinfo($_FILES['file']['name'],PATHINFO_FILENAME)); $fileNewName = './Up10aDs/' . random_str() .'.'.pathinfo($_FILES['file']['name'],PATHINFO_EXTENSION); $userid = $_SESSION['userid']; $sql= "insert into `download` (`uid`,`image_name`,`location`) values ($userid,'$fileOldName','$fileNewName')"; $res = $conn ->query($sql); if($res&&move_uploaded_file($_FILES['file']['tmp_name'], $fileNewName)){ echo ""; }else{ echo ""; } }else{ echo ""; } } ?>

之前上传的时候非常迷惑 , 这里不能直接上传 , 上传文件的时候发现每次都上传错误
如下图

[网安中国行](web)大美龙江_第2张图片
image.png

比赛结束后复现的时候突然有能上传成功了....这是什么鬼...
没有截到上传失败的图片...

        }else{
             echo "";
        }
// 每次都会走这个分支

读取到这个源码以后 , 感觉应该是题目环境部署的问题
应该是没有给Up10aDs这个目录写权限

诶...这个目录
Up10aDs
好熟悉
google一番找到原题
flag文件名称都没改

F1AgIsH3r3G00d.php

比赛结束后这个文件居然被删除了...


[网安中国行](web)大美龙江_第3张图片
image.png

你可能感兴趣的:([网安中国行](web)大美龙江)