[网鼎杯 2020 半决赛]faka
关键代码
public function upload()
{
$file = $this->request->file('file');
$ext = strtolower(pathinfo($file->getInfo('name'), 4));
$md5 = str_split($this->request->post('md5'), 16);
$filename = join('/', $md5) . ".{$ext}";
if (strtolower($ext) == 'php' || !in_array($ext, explode(',', strtolower(sysconf('storage_local_exts'))))) {
return json(['code' => 'ERROR', 'msg' => '文件上传类型受限']);
}
// 文件上传Token验证
if ($this->request->post('token') !== md5($filename . session_id())) {
return json(['code' => 'ERROR', 'msg' => '文件上传验证失败']);
}
// 文件上传处理
if (($info = $file->move('static' . DS . 'upload' . DS . $md5[0], $md5[1], true))) {
if (($site_url = FileService::getFileUrl($filename, 'local'))) {
return json(['data' => ['site_url' => $site_url], 'code' => 'SUCCESS', 'msg' => '文件上传成功']);
}
}
return json(['code' => 'ERROR', 'msg' => '文件上传失败']);
}
/**
* 文件状态检查
*/
public function upstate()
{
$post = $this->request->post();
$filename = join('/', str_split($post['md5'], 16)) . '.' . pathinfo($post['filename'], 4);
// 检查文件是否已上传
if (($site_url = FileService::getFileUrl($filename))) {
$this->result(['site_url' => $site_url], 'IS_FOUND');
}
// 需要上传文件,生成上传配置参数
$config = ['uptype' => $post['uptype'], 'file_url' => $filename];
switch (strtolower($post['uptype'])) {
case 'qiniu':
$config['server'] = FileService::getUploadQiniuUrl(true);
$config['token'] = $this->_getQiniuToken($filename);
break;
case 'local':
$config['server'] = FileService::getUploadLocalUrl();
$config['token'] = md5($filename . session_id());
break;
case 'oss':
$time = time() + 3600;
$policyText = [
'expiration' => date('Y-m-d', $time) . 'T' . date('H:i:s', $time) . '.000Z',
'conditions' => [['content-length-range', 0, 1048576000]],
];
$config['policy'] = base64_encode(json_encode($policyText));
$config['server'] = FileService::getUploadOssUrl();
$config['site_url'] = FileService::getBaseUriOss() . $filename;
$config['signature'] = base64_encode(hash_hmac('sha1', $config['policy'], sysconf('storage_oss_secret'), true));
$config['OSSAccessKeyId'] = sysconf('storage_oss_keyid');
}
$this->result($config, 'NOT_FOUND');
}
解题步骤:
下载源码,在sql文件可以找到admin密码的md5值。去在线网站爆破即可得到密码admincccbbb123
。然后代码审计。可以看上面的关键代码,来自plugs.php,用来进行文件上传。根据抓包,我们知道先执行upstate,再执行upload。可以看到,文件名可控,只要控制传入的md5即可。进入local的case里面,返回了token。然后到upload,这里的文件名也是可控的,同样控制md5即可。所以第一个if可以上传图片后缀的马进行绕过,第二个验证的话,这个filename和前一个包的filename要相同,即可绕过token验证。而upstate里面的filename和我们上传的md5有关,所以控制两个包的md5相同即可。进入到最后一个if,move函数我没进行本地调试,看了下,就是文件名遇到.直接返回,就是如果传入1.php.png的文件名,直接返回1.php。所以就可以直接上传木马了,直接开搞:
虽然会说文件上传失败,但是先执行的move函数,其实是已经成功上传了。上传的目录可以用一张正常的图片进行测试,然后文件名是以.php结尾的
然后直接蚁剑连接就可以拿到flag。
还有另一种文件下载的方法,直接任意文件读取即可,由于flag在/flag.txt里面,所以读就行。