[HFCTF2020]BabyUpload
-
- 题目源码
- 解题思路
-
- flag输出
- 伪造session
- 使用postman上传文件
- 创建success.txt并上传
- 输出flag
题目源码
<?php
error_reporting(0);
session_save_path("/var/babyctf/"); //读取/设置当前会话的保存路径
session_start();//启动新会话或者重用现有会话
require_once "/flag";//文件包含flag
highlight_file(__FILE__);
if($_SESSION['username'] ==='admin')
{
$filename='/var/babyctf/success.txt';if(file_exists($filename)){
safe_delete($filename);die($flag);}
}
else{
$_SESSION['username'] ='guest';
}
判断session的username是admin,并且/var/babyctf下是否有success.txt,如果存在,删除文件并输出$flag。
否则设置username为guest
$direction = filter_input(INPUT_POST, 'direction');
$attr = filter_input(INPUT_POST, 'attr');
$dir_path = "/var/babyctf/".$attr;
if($attr==="private"){
$dir_path .= "/".$_SESSION['username'];
}
设置两个post参数direction、attr,
$dir_path拼接路径,若$attr为private,在$dir_path的基础上再拼接一个username
if($direction === "upload"){
try{
if(!is_uploaded_file($_FILES['up_file']['tmp_name'])){
throw new RuntimeException('invalid upload');}$file_path = $dir_path."/".$_FILES['up_file']['name'];$file_path .= "_".hash_file("sha256",$_FILES['up_file']['tmp_name']);if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
throw new RuntimeException('invalid file path');}@mkdir($dir_path, 0700, TRUE);if(move_uploaded_file($_FILES['up_file']['tmp_name'],$file_path)){
$upload_result = "uploaded";}else{
throw new RuntimeException('error while saving');}} catch (RuntimeException $e) {
$upload_result = $e->getMessage();}
}
如果direction设置为upload,
判断是否正常上传,不是则输出为invalid upload(无效的上传)
是则在$dir_path下拼接文件名$dir_path."/".$_FILES['up_file']['name'];,
紧接着再拼接一个_,同时加上文件名的sha256值,
preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)限制了目录穿越,
mkdir创建相应目录,把文件上传到目录下。
elseif ($direction === "download") {
try{
$filename = basename(filter_input(INPUT_POST, 'filename'));$file_path = $dir_path."/".$filename;if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
throw new RuntimeException('invalid file path');}if(!file_exists($file_path)) {
throw new RuntimeException('file not exist');}header('Content-Type: application/force-download');header('Content-Length: '.filesize($file_path));header('Content-Disposition: attachment; filename="'.substr($filename, 0, -65).'"');if(readfile($file_path)){
$download_result = "downloaded";}else{
throw new RuntimeException('error while saving');}} catch (RuntimeException $e) {
$download_result = $e->getMessage();}exit;
}
?>
设置两个post参数filename
若direction设置为download,
读取上传上来的filename文件名,拼接为$file_path,
同样限制了目录穿越,
判断文件是否存在,不存在返回file not exist存在则返回文件内容。
解题思路
flag输出
1、session的username是admin,
2、并且/var/babyctf下是否有success.txt,
伪造session
伪造session使session的username是admin,
php的session默认存储文件名是sess_+PHPSESSID的值,
构造direction=download&attr=&filename=sess_31d87a3d609f33744bd238dec7eaed00post传入
不同的引擎所对应的session的存储方式不相同。
php_binary:存储方式是,键名的长度对应的ASCII字符+键名+经过serialize()函数序列化处理的值
php:存储方式是,键名+竖线+经过serialize()函数序列处理的值
php_serialize(php>5.5.4):存储方式是,经过serialize()函数序列化处理的值
根据回显判断
回显结果没有竖线,又有键名+经过serialize()函数序列化处理的值
所以因该为php_binary存储方式
可以在本地利用php_binary生成我们要伪造的session文件并计算sha256。
<?php
ini_set('session.serialize_handler', 'php_binary');
session_save_path("D:\\phpstudy_pro\\WWW\\testphp\\");
session_start();
$_SESSION['username'] = 'admin';
法一
在线文件hash计算
法二
卡里
php -r "echo hash_file("sha256","文件路径加文件名");"
使用postman上传文件
POST请求
根据$dir_path."/".$_FILES['up_file']['name'];
检查上传成功与否,
direction=download&attr=&filename=sess_432b8b09e30c4a75986b719d1312b63a69f1b833ab602c9ad5f0299d1d76a5a4
username是admin,伪造成功
创建success.txt并上传
需要创建一个success.txt上传来满足判断,
$filename是通过file_exists来判断的,
file_exists函数在php中检查文件或检查文件目录是否存在
所以,文件名设置不了,直接创建目录也符合条件,将attr设置为success.txt创建目录,再将sess上传到该目录下即可绕过判断
postman上传success.txt
测试上传是否成功
输出flag
条件已经满足,只需构造PHPSESSID=sess文件sha256值,刷新即可输出flag
