[XDCTF 2015]filemanager
[XDCTF 2015]filemanager
我们打开题目,大概看了下存在文件上传功能,并且可以执行重命名和删除文件的操作
![[XDCTF 2015]filemanager_第1张图片](http://img.e-com-net.com/image/info8/6047251a3ff649ca858ec7c91d83946f.jpg)
扫描目录发现有源码泄露
![[XDCTF 2015]filemanager_第2张图片](http://img.e-com-net.com/image/info8/edb8cddb66444851939264d79cb54b29.jpg)
我们逐一分析
upload.php
quote($path_parts["filename"]);
// Fix
$path_parts['filename'] = addslashes($path_parts['filename']);
$sql = "select * from `file` where `filename`='{$path_parts['filename']}' and `extension`='{$path_parts['extension']}'";
$fetch = $db->query($sql);
if ($fetch->num_rows > 0) {
exit("file is exists");
}
if (move_uploaded_file($file["tmp_name"], UPLOAD_DIR . $name)) {
$sql = "insert into `file` ( `filename`, `view`, `extension`) values( '{$path_parts['filename']}', 0, '{$path_parts['extension']}')";
$re = $db->query($sql);
if (!$re) {
print_r($db->error);
exit;
}
$url = "/" . UPLOAD_DIR . $name;
echo "Your file is upload, url:
{$url}
go back";
} else {
exit("upload error");
}
} else {
print_r(error_get_last());
exit;
}
}
首先检查上传文件的文件拓展名是否在白名单中,然后使用addslashes()函数对文件名进行转义处理,进行sql语句查询,如果不存在。那么上传文件到/uploads/文件名,执行insert命令将文件名和拓展名插入该数据表file中
接着看common.inc.php
"127.0.0.1",
"username" => "root",
"password" => "ayshbdfuybwayfgby",
"dbname" => "xdctf",
);
$db = new mysqli($DATABASE['host'], $DATABASE['username'], $DATABASE['password'], $DATABASE['dbname']);
$req = array();
foreach (array($_GET, $_POST, $_COOKIE) as $global_var) {
foreach ($global_var as $key => $value) {
is_string($value) && $req[$key] = addslashes($value);
}
}
define("UPLOAD_DIR", "upload/");
function redirect($location) {
header("Location: {$location}");
exit;
}
告诉我们数据库的信息,然后用foreach嵌套循环$_GET, $_POST, $_COOKIE参数是否为字符串,如果是则进行转义处理
然后看rename.php
query("select * from `file` where `filename`='{$req['oldname']}'");
if ($result->num_rows > 0) {
$result = $result->fetch_assoc();
} else {
exit("old file doesn't exists!");
}
if ($result) {
$req['newname'] = basename($req['newname']);
$re = $db->query("update `file` set `filename`='{$req['newname']}', `oldname`='{$result['filename']}' where `fid`={$result['fid']}");
if (!$re) {
print_r($db->error);
exit;
}
$oldname = UPLOAD_DIR . $result["filename"] . $result["extension"];
$newname = UPLOAD_DIR . $req["newname"] . $result["extension"];
if (file_exists($oldname)) {
rename($oldname, $newname);
}
$url = "/" . $newname;
echo "Your file is rename, url:
{$url}
go back";
}
}
?>
如果请求中存在oldname和newname参数,那么连接数据库进行查询旧文件名是否存在,如果查到那么用update命令去更新该文件名,然后定义newname为/upload/新文件名.拓展名,echo新的文件上传路径
delete.php
query("select * from `file` where `filename`='{$req['filename']}'");
if ($result->num_rows>0){
$result = $result->fetch_assoc();
}
$filename = UPLOAD_DIR . $result["filename"] . $result["extension"];
if ($result && file_exists($filename)) {
$db->query('delete from `file` where `fid`=' . $result["fid"]);
unlink($filename);
redirect("/");
}
}
?>
就是查询文件是否存在,如果存在则执行delete命令删除文件
既然题目存在文件上传功能,那么我们的思路肯定就是如何传马,但是由于上传时有白名单,那么我们就无法解析php后缀的文件。
我们是否可以尝试将jpg后缀改为php后缀呢,我们重点看向rename.php的这段代码
if ($result) {
$req['newname'] = basename($req['newname']);
$re = $db->query("update `file` set `filename`='{$req['newname']}', `oldname`='{$result['filename']}' where `fid`={$result['fid']}");
if (!$re) {
print_r($db->error);
exit;
}
$oldname = UPLOAD_DIR . $result["filename"] . $result["extension"];
$newname = UPLOAD_DIR . $req["newname"] . $result["extension"];
if (file_exists($oldname)) {
rename($oldname, $newname);
}
$url = "/" . $newname;
echo "Your file is rename, url:
{$url}
go back";
}
update命令涉及到参数newname以及从数据库中查找参数oldname值,而后面进行rename()的时候是文件名(不包括拓展名),并且后面拼接路径是从数据库中查找拓展名,那么是不是可以文件名为1.php,然后拓展名为空即可实现getshell
我们可以本地测试下如何利用update语句让拓展名为空
上传', extension=",filename='1.jpg.jpg后,存储在数据库中
![[XDCTF 2015]filemanager_第3张图片](http://img.e-com-net.com/image/info8/e7df09325a884c43bb30742fd4002dee.jpg)
如果我们更新文件名为1.jpg(也就是对文件名', extension='',filename='1.jpg),并且让extension为空
那么我们更新的时候拼接进去的是
update uploadfile set filename='1.jpg', oldname='', extension='',filename='1.jpg';
至于为什么选择在oldname注入,是因为文件上传的时候虽然做了转义但是文件名并不会发生改变,然后在rename的时候oldname是从数据库中找到,而我们在newname注入的话,会发生转义导致文件路径包含\
![[XDCTF 2015]filemanager_第4张图片](http://img.e-com-net.com/image/info8/36aa584b8671481fb8744816756eb903.jpg)
因此成功设置extension为空
![[XDCTF 2015]filemanager_第5张图片](http://img.e-com-net.com/image/info8/43452fc7f875402280f0ffeafe1c9d5d.jpg)
然后我们要将文件名1.jpg修改为1.php,这里就需要绕过file_exists()
因为虽然找得到1.jpg的文件名,但是没有拓展名使得判断为错
if (file_exists($oldname)) {
rename($oldname, $newname);
}
解决办法就是再上传一个1.jpg的文件,和前面提到还是一样,这里的$oldname是从数据库中得到的,也就是说文件名1.jpg拼接上空拓展名就等于文件名1拼接上拓展名.jpg,这样就能查询到存在使其为真
回到题目,我们先上传', extension='',filename='1.jpg.jpg(别忘了是两个jpg)
![[XDCTF 2015]filemanager_第6张图片](http://img.e-com-net.com/image/info8/edd2cdc520f54574aaf0b135c1f5e95f.jpg)
然后oldname填', extension='',filename='1.jpg
![[XDCTF 2015]filemanager_第7张图片](http://img.e-com-net.com/image/info8/ec8070a393fd4e108b0cf2d68344833b.jpg)
这样经过拼接就可以实现让extension为空,然后上传最关键一步1.jpg
然后rename为1.php
![[XDCTF 2015]filemanager_第8张图片](http://img.e-com-net.com/image/info8/e7545cc3865f4ebfa04359e0f10223eb.jpg)
得到flag
![[XDCTF 2015]filemanager_第9张图片](http://img.e-com-net.com/image/info8/a087b25da0104a5a9961352fd40d6109.jpg)