CTFHub

Writeup

00截断

发表于 分类于
Skill | Web | 文件上传 | 00截断

点击此处获得更好的阅读体验

本WP来自unic0rn原创投稿

题目考点

  • PHP 5.2 00截断

解题思路

访问题目,是一个上传页面,我上传了一句话木马,拦截数据包。php 5.2版本的00截断,应该在上传路径截断

可以看到请求连接处包含road参数,修改参数为/var/www/html/upload/shell.php%00

提示上传成功,访问上传文件 http://challenge-e4da1f654fb674e2.sandbox.ctfhub.com:10080/upload/shell.php

在响应包中,能够看到注释代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
if (!empty($_POST['submit'])) {
    $name = basename($_FILES['file']['name']);
    $info = pathinfo($name);
    $ext = $info['extension'];
    $whitelist = array("jpg", "png", "gif");
    if (in_array($ext, $whitelist)) {
        $des = $_GET['road'] . "/" . rand(10, 99) . date("YmdHis") . "." . $ext;
        if (move_uploaded_file($_FILES['file']['tmp_name'], $des)) {
            echo "<script>alert('上传成功')</script>";
        } else {
            echo "<script>alert('上传失败')</script>";
        }
    } else {
        echo "文件类型不匹配";
    }
}

设置了一个白名单,只允许jpg, png, gif后缀,然后重新命名上传的文件,并转移到road参数传入的路径

出问题的应该是 move_uploaded_file 函数,在读取$des是读到%00发生了截断,导致存入路径就到%00之前,从而实现绕过白名单。