CISCN2023 unzip软链接getshell

文件上传之软链接getshell

前言

在CTF与渗透实战中总是会出现文件上传的问题,而文件上传有两大决定性的因素

  1. 能上传
  2. 能解析、执行

文件上传不一定是为了getshell,而上传的文件种类也是千奇百怪,目前来说,文件上传比较多的是pdf、压缩包。

题目举例

这个示例题目是2023年的CISCN的web题里的一道,原理就是服务器错误的解析了压缩包导致的
题目地址
https://github.com/NUDTTAN91/ciscn_2023_unzip

题目代码为


  error_reporting(0);
highlight_file(__FILE__);



$finfo = finfo_open(FILEINFO_MIME_TYPE);
if (finfo_file($finfo, $_FILES["file"]["tmp_name"]) === 'application/zip'){
  exec('cd /tmp && unzip -o ' . $_FILES["file"]["tmp_name"]);
};

可以看到上传文件的判断非常的奇怪,接下来我会对每一句代码进行解析(我打算写一个代码审计的系列,从现在开始)

  1. error_reporting(0);:这行代码关闭了所有错误报告。这可能是为了让代码在出现问题时不向用户显示错误信息。
  2. highlight_file(FILE);:这行代码使用highlight_file函数显示当前文件的源代码,并对其进行语法高亮。__FILE__是一个魔术常量,表示当前脚本的完整路径和文件名。
  3. $finfo = finfo_open(FILEINFO_MIME_TYPE);:这行代码使用finfo_open函数创建一个新的文件信息资源,用于检查文件的MIME类型。FILEINFO_MIME_TYPE是一个常量,表示我们希望获取文件的MIME类型。
  4. if (finfo_file($finfo, $_FILES[“file”][“tmp_name”]) === ‘application/zip’){:这行代码使用finfo_file函数检查上传文件的MIME类型。如果文件的MIME类型是’application/zip’,则进入if语句块。
  5. exec('cd /tmp && unzip -o ’ . F I L E S [ " f i l e " ] [ " t m p n a m e " ] ) ; :这行代码使用 e x e c 函数执行一个系统命令。命令首先切换到 / t m p 目录,然后使用 u n z i p 命令解压缩上传的 Z I P 文件。 − o 选项表示覆盖已存在的文件。 _FILES["file"]["tmp_name"]);:这行代码使用exec函数执行一个系统命令。命令首先切换到/tmp目录,然后使用unzip命令解压缩上传的ZIP文件。-o选项表示覆盖已存在的文件。 FILES["file"]["tmpname"]);:这行代码使用exec函数执行一个系统命令。命令首先切换到/tmp目录,然后使用unzip命令解压缩上传的ZIP文件。o选项表示覆盖已存在的文件。_FILES[“file”][“tmp_name”]是上传文件在服务器临时目录中的路径。

总体分析:这个PHP脚本允许用户上传一个ZIP文件,并在验证其MIME类型为’application/zip’后将其解压缩到服务器的/tmp目录。同时,脚本还会显示其自身的源代码。

进行实战

题目初始界面
CISCN2023 unzip软链接getshell_第1张图片

制作压缩包

当解压操作可以覆盖上一次解压文件就可以造成任意文件上传漏洞。此题上传的文件被保存到了/tmp目录下,而且没有require和include这种文件包含的点,因此无法直接执行上传文件里面的代码,因此这里考虑利用软连接,进行目录穿越,将文件上传到任意目录

软链接介绍

软连接是linux中一个常用命令, 它的功能是为某一个
文件在另外一个位置建立一个同步的链接。软连接类似
与c语言中的指针,传递的是文件的地址; 更形象一
些,软连接类似于WINDOWS系统中的快捷方式。 例
如,在a文件夹下存在一个文件hello,如果在b文件夹
下也需要访问hello文件,那么一个做法就是把hello复
制到b文件夹下,另一个做法就是在b文件夹下建立
hello的软连接。通过软连接,就不需要复制文件了,相
当于文件只有一份,但在两个文件夹下都可以访问。

软链接文件上传的适用范围

有文件上传接口,但是上传文件的目录不能确定
可以上传zip文件并且会将文件解压到上传目录下
可以getshell的文件可以绕过waf成功上传

制作压缩包

1、创建软链接文件夹

创建一个指向/var/www/html目录的软链接,因为html目录下是web环境(大部分情况是),为了后续可以getshell

CISCN2023 unzip软链接getshell_第2张图片
使用ll查看文件夹的真实指向

可以看到这是一个链接文件,并且指向/var/www/html

2、对软链接文件夹进行打包

知识补充

zip --symlinks,是在zip压缩文件中,包含符号链接
本身,而不是它们指向的实际文件或目录,也就是说当
解压缩这个zip文件,将得到符号链接,而不是它们指向
的实际文件

打包到到1.zip,对link文件进行压缩

CISCN2023 unzip软链接getshell_第3张图片
使用ll查看文件详情
CISCN2023 unzip软链接getshell_第4张图片

创建木马文件夹

注意点

接下来创建的这个目录要上面创建的文件夹名字相同,所以我们这里先将之前创建的文件夹删除再创建

CISCN2023 unzip软链接getshell_第5张图片

写入木马并打包

这里写入phpinfo()进行测试
CISCN2023 unzip软链接getshell_第6张图片

打包成2.zip
CISCN2023 unzip软链接getshell_第7张图片
现在我们将1.zip 和2.zip 依次 上传,压缩包会被解压,当我们上传第二个压缩包时会覆盖上一个link目录,但是
link目录软链接指向/var/www/html解压的时候会把shell.php放在/var/www/html下,此时我们就达到了getsehll的目的。

上传木马

CISCN2023 unzip软链接getshell_第8张图片
会出现源码页面,不用管,接着传2.zip进行getshell
CISCN2023 unzip软链接getshell_第9张图片

上传2.zip进行getshell
CISCN2023 unzip软链接getshell_第10张图片

访问shell.php进行测试

CISCN2023 unzip软链接getshell_第11张图片
可以看到成功访问到了,此时getshell成功

修复建议

在现实中或awd、dawd中大家都需要进行patch(修复)操作,所以面试基本上都会把重点放在应急响应这里,这里我们也尝试修复这个文件上传漏洞

  1. 限制允许上传的文件类型,例如只允许特定的ZIP文件。
  2. 对上传的ZIP文件进行内容扫描,以防止恶意文件上传。
  3. 使用更安全的方法执行系统命令,例如使用PHP的ZipArchive类来解压缩文件。
  4. 限制解压缩的目录,避免覆盖重要文件。
  5. 为解压缩的文件添加随机前缀或使用随机文件夹,以减少文件名冲突和潜在的安全风险
修复代码

仅允许上传ZIP文件,使用ZipArchive类解压缩文件,为解压缩的文件添加随机前缀,并限制解压缩的目录


error_reporting(0);

// 限制允许上传的文件类型
$allowed_extensions = array('zip');

// 获取上传文件的扩展名
$uploaded_file_extension = pathinfo($_FILES["file"]["name"], PATHINFO_EXTENSION);

// 检查文件扩展名是否在允许的列表中
if (in_array(strtolower($uploaded_file_extension), $allowed_extensions)) {
    $finfo = finfo_open(FILEINFO_MIME_TYPE);
    if (finfo_file($finfo, $_FILES["file"]["tmp_name"]) === 'application/zip') {
        // 使用PHP的ZipArchive类来解压缩文件
        $zip = new ZipArchive;
        if ($zip->open($_FILES["file"]["tmp_name"]) === TRUE) {
            // 为解压缩的文件添加随机前缀
            $random_prefix = uniqid();
            $extract_to_directory = "/tmp/" . $random_prefix;
            // 创建解压缩目录
            if (!is_dir($extract_to_directory)) {
                mkdir($extract_to_directory, 0755, true);
            }
            // 解压缩文件到指定目录
            $zip->extractTo($extract_to_directory);
            $zip->close();
            echo "Unzip successful!";
        } else {
            echo "Failed to open the zip file.";
        }
    } else {
        echo "Invalid file type. Please upload a zip file.";
    }
} else {
    echo "File extension not allowed. Please upload a zip file.";
}
?>

你可能感兴趣的:(渗透实录,ctfshow之web专栏,服务器,运维,网络安全,http,安全威胁分析)